pdo - bindowanie / podpinanie wartosci Opcje

[qbal]

Witam

Jestem poczatkujacy w php5. NIe rozumie paru rzeczy odnosnie PDO. Przykladowy skrypt (specjalnie z bledem)

[PHP] pobierz, plaintext 
<?php
try {
 
 
  $dbh = new PDO('mysql:host=localhost;port=3305;dbname=dbname', 'user', 'pass');
  $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  $stmt= $dbh->prepare('INSERT INTO osoba VALUES(:id,:imie,:email)');
 
  $id='nr';
  $imie='aaa';
  $email='a@a.pl';
 
  $stmt->bindValue(':id',$id,PDO::PARAM_INT);
  $stmt->bindValue(':imie',$imie,PDO::PARAM_STR);
  $stmt->bindValue(':email',$email,PDO::PARAM_STR);
  $stmt -> execute();
 
  $stmt->closeCursor();
  unset($stmt);
 
} catch (Exception $e) {
  echo 'Failed: ' . $e->getMessage();
}
?>
[PHP] pobierz, plaintext 

tabela w MySQL qyglada nastepujaco (typ tabeli: InnoDB)

[SQL] pobierz, plaintext 
DESC osoba;
+-------+-------------+------+-----+---------+----------------+
| FIELD | Type        | NULL | KEY | DEFAULT | Extra          |
+-------+-------------+------+-----+---------+----------------+
| id    | int(11)     | NO   | PRI | NULL    | AUTO_INCREMENT | 
| imie  | varchar(10) | YES  |     | NULL    |                | 
| email | varchar(15) | YES  |     | NULL    |                | 
+-------+-------------+------+-----+---------+----------------+
[SQL] pobierz, plaintext 

Pytania:
1.dlaczego $stmt->bindValue(':id',$id,PDO::PARAM_INT); nie odrzuca wartosci string? przeciez po to sie dodaje ten parametr (PDO::PARAM_INT)
2. Dlaczego MySQL nie odrzuca stringa dla pola id?

uzywam php 5.1.6, baza MySQL 5.0.22

[marast78]

id jest auto_increment więc możesz bindować co chcesz i tak nic to nie da
PARAM_INT itp. jest to info dla zapytania jaki typ jest bindowany (podejrzewam, że chodzi tu o użycie cudzysłowa, czego wymaga zapytanie przy dodawaniu stringa)

[qbal]

wklejam podobny przyklad:

[PHP] pobierz, plaintext 
<?php
try {
 
 
  $dbh = new PDO('mysql:host=localhost;port=3305;dbname=smarty', 'kuba', 'pokemon1234');
  $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  $stmt= $dbh->prepare('INSERT INTO osoba1 VALUES(:id,:imie,:email,:nr,:cos)');
 
  $id='nr';
  $imie='aaa';
  $email='a@a.pl';
  $nr='cos';
  $cos='cos';
 
  $stmt->bindValue(':id',$id,PDO::PARAM_INT);
  $stmt->bindValue(':imie',$imie,PDO::PARAM_STR);
  $stmt->bindValue(':email',$email,PDO::PARAM_STR);
  $stmt->bindValue(':nr',$nr,PDO::PARAM_INT);
  $stmt->bindValue(':cos',$cos,PDO::PARAM_STR);
  $stmt -> execute();
   $stmt->closeCursor();
  unset($stmt);
} catch (Exception $e) {
  echo 'Failed: ' . $e->getMessage();
}
?>
[PHP] pobierz, plaintext 

mysql:

[SQL] pobierz, plaintext 
DESC osoba1;
+-------+-------------+------+-----+---------+----------------+
| FIELD | Type        | NULL | KEY | DEFAULT | Extra          |
+-------+-------------+------+-----+---------+----------------+
| id    | int(11)     | NO   | PRI | NULL    | AUTO_INCREMENT | 
| imie  | varchar(10) | YES  |     | NULL    |                | 
| email | varchar(15) | YES  |     | NULL    |                | 
| nr    | int(11)     | YES  |     | NULL    |                | 
| cos   | varchar(10) | YES  |     | NULL    |                | 
+-------+-------------+------+-----+---------+----------------+
[SQL] pobierz, plaintext 

wykonalem powyzszy kod i dla $nr='cos' $cos='cos' oraz dla $nr=7; $cos=7; w zadnym przypadku php nie zglosil bledy/wyjatku.
MySQL zachowal sie tak ze gdy podawalem dla $nr string wpisywal w rekord 0; a gdy do $cos podawalem liczbe do bazy wpisal liczbe

w takim razie jaki jest sens podawania parametrów PDO::PARAM_INT lub PDO::PARAM_STR ?
Chyba za nie jest to jeszcze do konca gotowe, czytalem ze PDO jest w fazie rozwoju...

[marast78]

no jednak się niezgodze, ze jest to do niczego zwłaszcza, gdy w php nie ma jako takiego przypisywania do zmiennej danego typu, możliwe jest rzutowanie, ale to nie jest to co naprzykład w C, tu głównie chodzi o to, aby dany typ przy wykonywaniu zapytania do bazy był prawidłowo rozpoznawany przez baze, a to , że zamiast stringu z flagą PARAM_INT zapisuje do bazy 0 świadczy tylko o tym, że to działa jeśłi juz bardzo chcesz pilnować typów bindowanych to napisz swoją klase, która by to robiła

[qbal]

po prostu myslalem ze jak juz jest taka metoda (bindValue) w ktorej sie podaje jakiego typu ma byc parametr przekazany do bazy to ta klasa wyzuci wyjatek przy wstawienia takiej danej do bazy... No coz jeszce wiele sie musze nauczyc

a to , że zamiast stringu z flagą PARAM_INT zapisuje do bazy 0 świadczy tylko o tym, że to działa

ale na odwrot to juz tak nie dziala... wstawiajac liczbe tam gdzie okresli sie ze to ma byc PARAM_STR, PDO wstawia do bazy wlasnie ta liczbe. Moim zdaniem PDO w tkim przypadku powinno odrzucac takie zapytania albo ewentualnie wstawiac do bazy 0, ale to jest tylko moje zdanie poczatkujacego phpowca:)

[daniel1302]

zacytuje wikibooks

Podpinanie jest odporne na ataki SQL Injection. MySQL ma jasno określone, co jest danymi, a co zapytaniem i ściśle się tego trzyma. Ponadto jest także wydajniejsze, niż samodzielne spinanie wszystkiego po stronie PHP.

[Zyx]

Podpinanie parametrów jest realizowane przez PDO wtedy i tylko wtedy, jeśli nie obsługuje tego baza. W każdym innym wypadku pretensje, dlaczego to działa tak, a nie inaczej, należy kierować do autorów konkretnego SZBD. Ręczne określanie typu nie jest MySQL-owi do niczego potrzebne. Możliwe są wywołania odpowiednich metod bez określenia typu danych. Zresztą, gdyby się ściśle tego trzymać, nie dałoby się korzystać z większości typów, jakie oferuje konkretna baza danych, jako że w PDO stałych typowych mamy dokładnie sześć i brakuje np. typu zmiennoprzecinkowego.

Niemniej jeśli chodzi o SQL Injection, jest to prawda. Jeśli dane ładujemy poprzez podpinanie, nie musimy się w ogóle o to martwić, tak samo możemy spokojnie wyłączyć magic quotes - dane są niezależne od zapytania i jedynie błąd samej bazy danych może to zmienić. Jeśli jednak oprócz podpinania część samego zapytania sklejamy ręcznie po stronie skryptu na podst. danych z zewnątrz, wtedy tam oczywiście musimy korzystać z odpowiednich zabezpieczeń.