Forum PHP.pl > [php] Krótka funkcja ułatwiająca korzystanie z zapytań do bazy danych

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [php] Krótka funkcja ułatwiająca korzystanie z zapytań do bazy danych

Kildyt

2.03.2009, 14:38:03

Witajcie!

Piszę aktualnie nową wersję redbooka i pomyślałem, że niektórym powinna ułatwić życie krótka funkcja, która generuje ciąg do zapytań do bazy danych.
Przy okazji proszę o ocenę.

Oto kod:

[PHP] pobierz, plaintext 
<?php
function pull($item, $method = NULL) { // Generowanie ciągu do zapytania mysql
    $return = NULL;
    
    /*
    OJAŚNIENIE SYTUACJI
    1 - Została podana jedynie nazwa elementu
        Przykład: array('imie', 'nazwisko')
    2 - Została podana tablica zawierająca nazwę elementu i jej wartość, która nie jest obiektem
        Przykład: array(
                                        array('imie', 'Jan'),
                                        array('imie', $autor),
                                        array('imie', $_POST['autor'])
                                    )
    3 - Została podana tablica zawierająca nazwę elementu i jej wartość, która jest tablicą i przyjmuje wartość nazwy elementu
        Przykład: array(
                                        array('imie', $_POST),
                                        array('imie', $_GET)
                                    )
    */
    
    if (empty($method)) {
        $method = $_POST;
    }
    
    for ($i = 0, $to = count($item)-1; $i <= $to; $i++) {
        if (is_array($item[$i])) {
            if (is_array($item[$i][1])) {
                // Sytuacja 3
                $return .= '`'.$item[$i].'` = ''.$item[$i][1][$item[$i][0]].'', ';
            } else {
                // Sytuacja 2
                $return .= '`'.$item[$i][0].'` = ''.$item[$i][1].'', ';
            }
        } else {
            // Sytuacja 1
            $return .= '`'.$item[$i].'` = ''.$method[$item[$i]].'', ';
        }
    }
    
    return substr($return, 0, -2);
}
?>
[PHP] pobierz, plaintext

I stąd zamiast:

[PHP] pobierz, plaintext 
<?php
mysql_query("INSERT INTO `name` SET `imie`='$_POST[imie]', `nazwisko`='$_POST[nazwisko]', `gg`='$_POST[gg]', `jabber`='$_POST[jabber]', `email`='$_POST[email]'");
?>
[PHP] pobierz, plaintext

Mamy:

[PHP] pobierz, plaintext 
<?php
mysql_query("INSERT INTO `name` SET ".pull(array('imie', 'nazwisko', 'gg', 'jabber', 'email')));
?>
[PHP] pobierz, plaintext

Funkcja napisana w kilkanaście minut. Licencja GPL v3.
Może się to wielu wydawać dziwne, że tak prosty kod daję do oceny i publikuję na GPL-u, ale chciałbym dać chociaż mały znak, że wspieram open source!

.radex

2.03.2009, 15:21:07

[PHP] pobierz, plaintext 
<?php
for ($i = 0, $to = count($item)-1; $i <= $to; $i++) {
?>
[PHP] pobierz, plaintext

nie łatwiej

[PHP] pobierz, plaintext 
<?php
for ($i = 0, $to = count($item); $i < $to; $i++) {
?>
[PHP] pobierz, plaintext

[PHP] pobierz, plaintext 
<?php
@$item[$i][1][$item[$i][0]]
?>
[PHP] pobierz, plaintext

po co "@" ? I tak nie rozwiązujesz tym żadnego problemu. Po prostu maskujesz błędy (teoretycznie mogłoby wywalić notice) w tej sytuacji

Ogólnie fajna funkcyjka, zapewne przydatna, ale nie lepiej dla użytkownika (w sensie programisty) zrobić:

[PHP] pobierz, plaintext 
<?php
pull('imie', 'nazwisko', 'gg', 'jabber', 'email')
?>
[PHP] pobierz, plaintext

zamiast

[PHP] pobierz, plaintext 
<?php
pull(array('imie', 'nazwisko', 'gg', 'jabber', 'email'))
?>
[PHP] pobierz, plaintext

hm? Żadna filozofia a umila pracę

Kildyt

2.03.2009, 15:29:50

Używam w nowym CMS-ie: error_reporting(E_ALL), więc dlatego unikam notic-ów.

mike

2.03.2009, 15:37:38

Cytat(Kildyt @ 2.03.2009, 15:29:50 )

Używam w nowym CMS-ie: error_reporting(E_ALL), więc dlatego unikam notic-ów.

Proponuję wejść na przejście dla pieszych na czerwonym świetle. Jak zamkniesz oczy to unikniesz zderzenia.

bim2

2.03.2009, 16:35:53

count() wydziel do zmiennej i na niej iteruj...

Pomysłwowości ci pogratuluje, ale funkcja taka sobie

Juz lepiej funkcje insert dać, albo najlepiej całą klasę ;d

mike

2.03.2009, 16:37:09

Cytat(bim2 @ 2.03.2009, 16:35:53 )

count() wydziel do zmiennej i na niej iteruj..

Przecież ma wydzielone

Kildyt

2.03.2009, 18:07:53

Cytat(.radex @ 2.03.2009, 17:21:07 )

po co "@" ? I tak nie rozwiązujesz tym żadnego problemu. Po prostu maskujesz błędy (teoretycznie mogłoby wywalić notice) w tej sytuacji

Macie rację.

Błędy ukryłem na wczesnym etapie pracy, kiedy funkcja była wywoływana cały czas, a nie wtedy kiedy powinna. Po kilkunastu minutach zrozumiałem błąd. Kod zmieniam.

Cytat(.radex @ 2.03.2009, 17:21:07 )

Ogólnie fajna funkcyjka, zapewne przydatna, ale nie lepiej dla użytkownika (w sensie programisty) zrobić:

[PHP] pobierz, plaintext 
<?php
pull('imie', 'nazwisko', 'gg', 'jabber', 'email')
?>
[PHP] pobierz, plaintext

zamiast

[PHP] pobierz, plaintext 
<?php
pull(array('imie', 'nazwisko', 'gg', 'jabber', 'email'))
?>
[PHP] pobierz, plaintext

hm? Żadna filozofia a umila pracę

Do funkcji nie jest dostarczana tylko jedna wartość. Rozbudowałem ją sobie jeszcze o wyjątki i usunięcia, ale to już pod mój cms.

Dzięki za opinie.

.radex

2.03.2009, 18:55:06

Cytat(Kildyt @ 2.03.2009, 18:07:53 )

Do funkcji nie jest dostarczana tylko jedna wartość.

... a func_get_args() znasz ?

bim2

2.03.2009, 19:28:33

@mike
Tak jest jak patrzy się na for( i count() ;d;d Ehh...

Zrób od razu może filtracje zmiennych

erix

2.03.2009, 20:54:25

A czemu nie zrobisz funkcji w stylu:

[PHP] pobierz, plaintext 
<?php
pull(
  array('col'=>'val', 'col2'=>'val'),
  'tabela'
);
?>
[PHP] pobierz, plaintext

Crozin

3.03.2009, 23:42:12

Jak będę miał jakąś wartość numeryczną to efektem będzie

[SQL] pobierz, plaintext 
col = 'val'
[SQL] pobierz, plaintext

czy

[SQL] pobierz, plaintext 
col=val
[SQL] pobierz, plaintext

? Jak dam null to będzie

[SQL] pobierz, plaintext 
col = 'null'
[SQL] pobierz, plaintext

czy

[SQL] pobierz, plaintext 
col=NULL
[SQL] pobierz, plaintext

?

Rozumiem, że funkcja przydaje się jedynie do zastosowanie z INSERT INTO, w dodatku w przypadku składni z SET?

Kildyt

4.03.2009, 11:38:51

Wartość zawsze będzie w apostrofach.
Zastosowanie funkcji nie ogranicza się jedynie do SET-a.

nospor

4.03.2009, 11:50:02

Cytat

Wartość zawsze będzie w apostrofach.

ale zdajesz sobie sprawę, ze często gęsto chcemy wstawic wartosc NULL a nie tekst 'NULL'?

Cytat

Zastosowanie funkcji nie ogranicza się jedynie do SET-a.

Przy obecnym zapisie to raczej tylko. Czyli INSERT i UPDATE

phpion

4.03.2009, 12:09:12

Cytat(Kildyt @ 2.03.2009, 16:38:03 )

Może się to wielu wydawać dziwne, że tak prosty kod daję do oceny i publikuję na GPL-u, ale chciałbym dać chociaż mały znak, że wspieram open source!

Tekst (jak i sama funkcja) słaby. Poprzednicy wspomnieli już o jej ograniczeniach. Ja dodam ze swojej strony kolejne ograniczenie: tylko MySQL. Ogólnie nie sądzę aby ktokolwiek jej używał; jeśli ktoś będzie potrzebował czegoś podobnego to bez problemu sam sobie napisze.

Kildyt

4.03.2009, 13:18:23

Trochę poprawiłem. Apostrofy nie są obowiązkowe.

[PHP] pobierz, plaintext 
<?php
 
function pull($item, $method = NULL) { // Generowanie ciągu do zapytania mysql
   $return = NULL;
   
   /*
   OJAŚNIENIE SYTUACJI
   1 - Została podana jedynie nazwa elementu
       Przykład: array('imie', 'nazwisko')
   2 - Została podana tablica zawierająca nazwę elementu i jej wartość, która nie jest obiektem
       Przykład: array(
                                  array('imie', 'Jan'),
                                  array('imie', $autor),
                                  array('imie', $_POST['autor'])
                              )
   3 - Została podana tablica zawierająca nazwę elementu i jej wartość, która jest tablicą i przyjmuje wartość nazwy elementu
       Przykład: array(
                                 array('imie', $_POST),
                                 array('imie', $_GET)
                             )
   PRZYPISY
   #1 - Dodawanie apostrofów
       Przykład zastosowania: array(
                               array('wiek', 2+1), // Rezultat: `imie` = 3
                                array('int', '`id`+5', 1) // Rezultat `imie` = `id`+5
                                                          )
   */
   
   if (empty($method)) $method = $_POST;
   
   for ($i = 0, $to = count($item); $i < $to; $i++) {
      $slash[$i] = NULL;
      
       if (is_array($item[$i])) {
           if (is_string($item[$i][1]) AND !isset($item[$i][2])) $slash[$i] = '''; #1
           
           if (is_array($item[$i][1])) {
               // Sytuacja 3
               $return .= '`'.$item[$i].'` = '.$slash[$i].$item[$i][1][$item[$i][0]].$slash[$i].', ';
           } else {
               // Sytuacja 2
               $return .= '`'.$item[$i][0].'` = '.$slash[$i].$item[$i][1].$slash[$i].', ';
           }
       } else {
           // Sytuacja 1
           $return .= '`'.$item[$i].'` = ''.$method[$item[$i]].'', ';
       }
   }
   
   return substr($return, 0, -2);
}
 
?>
[PHP] pobierz, plaintext

Crozin

4.03.2009, 14:36:57

A co jak będę chciał np. zrobić UPDATEa:

[SQL] pobierz, plaintext 
UPDATE abc SET sthCount = sthCount + 1, sthElse = 'abcdef';
[SQL] pobierz, plaintext

Znowu polegnie.

Kildyt

4.03.2009, 15:00:00

Cytat(Crozin @ 4.03.2009, 16:36:57 )

A co jak będę chciał np. zrobić UPDATEa:

[SQL] pobierz, plaintext 
UPDATE abc SET sthCount = sthCount + 1, sthElse = 'abcdef';
[SQL] pobierz, plaintext

Znowu polegnie.

[PHP] pobierz, plaintext 
<?php
mysql_query('UPDATE `abc` SET '.pull(array(
                                              array('sthCount', '`sthCount` + 1', 1),
                                              array('sthElse', 'abcdef')
                                             )));
?>
[PHP] pobierz, plaintext

Rezultat dla funkcji to:

[PHP] pobierz, plaintext 
<?php
`sthCount` = `sthCount` + 1, `sthElse` = 'abcdef'
?>
[PHP] pobierz, plaintext

sowiq

4.03.2009, 15:03:19

Cytat

array('sthCount', '`sthCount + 1', 1),

Taki mały, nadzorowany SQL Injection?

Nie obraź się, ale podzielam zdanie ~phpion'a.

Kildyt

4.03.2009, 15:17:06

Cytat(sowiq @ 4.03.2009, 17:03:19 )

Taki mały, nadzorowany SQL Injection?

Nie obraź się, ale podzielam zdanie ~phpion'a.

Jeżeli chodzi o ` to post zeedytowałem prawie od razu. Musiałeś zobaczyć go przed edycją.
Przecież ja nie mam na co się obrażać.

Chodziło mi o napisanie prostej funkcji i wiem, że mi się to udało.

Co do filtracji zmiennych to nie napisałem ją w tej funkcji, ponieważ w nowym redbook'u od razu filtruję $_POST i $_GET.

Crozin

4.03.2009, 16:03:49

Z góry zaśmiecasz wszystkie zmienne z $_POST, $_GET mysql_real_escape_stringiem?

Kildyt

4.03.2009, 18:12:54

Cytat(Crozin @ 4.03.2009, 18:03:49 )

Z góry zaśmiecasz wszystkie zmienne z $_POST, $_GET mysql_real_escape_stringiem?

Zaśmiecam? Nie przesądzaj sprawy jeżeli ją dogłębnie nie znasz. Co jest złego w hurtowym przefiltrowaniu zmiennych przy starcie silnika?
W starej wersji redbook'a filtrowałem za każdym razem zmienne i źle na tym wyszedłem. Filtruje je zawsze, do tego trzeba tworzyć kolejne zmienne, nie ja tu widzę (w mojej sytuacji) same plusy: szybciej, wygodniej, bezpieczniej.

erix

4.03.2009, 20:27:34

Cytat

Co jest złego w hurtowym przefiltrowaniu zmiennych przy starcie silnika?

Ano to, że w innych miejscach w kodzie filtracja może nie być pożądana.

.radex

4.03.2009, 21:55:07

Cytat(erix @ 4.03.2009, 20:27:34 )

Ano to, że w innych miejscach w kodzie filtracja może nie być pożądana.

to się odfiltruje (jeśli tylko chodzi o mysql_real_escape_string). Ja nie widzę problemu, ale i tak u siebie wolę za każdym razem ręcznie escape'ować, czy zamieniać na dany typ (gdy np. oczekuję int, a od użytkownika dostaję string, w którym może być cokolwiek)

@down: Napisałem wyraźnie: "to się odfiltruje (jeśli tylko chodzi o mysql_real_escape_string)."

nospor

4.03.2009, 22:18:32

Cytat

to się odfiltruje

To przepuszczaj tez od razu wszystko przez htmlspecialchars(). Jak ci nie bedzie potrzebne to sobie zamienisz spowrotem.
PRzepuszczaj jeszcze przez base64. Jak znowu nei bedzie potrzebne to tez odkodujesz.

Cytat

W starej wersji redbook'a filtrowałem za każdym razem zmienne i źle na tym wyszedłem

Jak sie nie uzywa sprawdzonych narzedzi ala PDO....

Cytat

ja tu widzę (w mojej sytuacji)

No i ok. Dla Ciebie moze to i git, ale nie wymuszaj tego na innych. Dales skrypt, by zaistniec w sieci, to przyjmij do wiadomosci ze nie kazdy robi tak jak ty i nie kazdy leci po globalnym filtrowaniu

Crozin

6.03.2009, 19:45:13

Poprzednicy już ładnie skrytykowali za mnie ten pomysł.

I teraz przyczepię się do jednego z Twoim-zdaniem-plusa: wygodniej.

[PHP] pobierz, plaintext 
<?php
#taki troche pseudo kod
 
#tutaj globalne filtrowanie
 
if(mb_strlen(odfiltruj_mysql_real_escape_string($login) < 3 || mb_strlen(odfiltruj_mysql_real_escape_string($login) > 100){
  echo 'login jest za dlugi/krotki';
}
 
if(mb_strlen(odfiltruj_mysql_real_escape_string($password) < 6){
  //za krotkie
}
 
if(lavenshtein(odfiltruj_mysql_real_escape_string($login), odfiltruj_mysql_real_escape_string($password)) < 3){
  //haslo jest zbyt podobne do loginu
}
 
//zarejetruj
$sql = '... login = ' . $login . '...';
//no.. tu to było fajnie :)
 
$mailBody = 'dziekujemy za rejestrację ' + odfiltruj_mysql_real_escape_string($login);
//wyslij maila
?>
[PHP] pobierz, plaintext

Ahh... ale przecież mogę sobie dać na początku:

[PHP] pobierz, plaintext 
<?php
$_login = odfiltruj_mysql_real_escape_string($password);
?>
[PHP] pobierz, plaintext

I potem już nie ma problemu, mogę sobie fajnie na prostej zmiennej operować

Tylko jaki to ma sens, skoro zrobienie w drugą strone wygląda tak samo, a nie tworzy się burdelu w kodzie? Dodatkowo wspomniany przykład PDO - gdzie takie filtrowanie odbywa się jeszcze "przyjaźniej"

rzymek01

6.03.2009, 20:01:11

nie dałeś nawiasu w linii 6,7 i 11

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.