PDO: Errore nella causa apici e virgolette

**drstefa** · 04-09-2014, 11:22

Utilizzo la classe PDO in una semplicissima funzione prototipo per eseguire le query.

Funziona tutto correttamente ma per qualche motivo sia utilizzando il bind che l'execute mi da errore in presenza di valori da inserire in vui vi siano ' o ".

codice:

function doquery($fquery,$farray=null) {  try {
    if (!isset($pdo)) {
      $pdo = new PDO("mysql:host=".DB_HOST.";dbname=".DB_NAME.";charset=utf8",DB_USER,DB_PASS);
      $pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);   
    }
    
    $fstmt = $pdo->prepare($fquery);
    if ($farray) {
//      foreach ($farray as $key => &$val) { // tolto per provare l'execute diretto con array
//        $fstmt -> bindParam($key, $val);
//        }
      $is_ok = $fstmt->execute($farray);
    } else {
      $is_ok = $fstmt -> execute();
    }


    if ($is_ok) {
      if (strstr($fquery,"SELECT")) {
        $value = $fstmt -> fetchAll(PDO::FETCH_ASSOC);
      } else {
        $value = $fstmt -> rowCount();
      }
    } else {
      $value = NULL;
    }
    $fstmt = NULL;
       
    return $value;
  } catch (PDOException $e) {
    echo $fquery."\n";
    print "Error!: " . $e->getMessage() . "<br/>";
    die();
  }
}

Dal manuale PH si evice che gli escape e i controlli anti SQLInjection vengono svolti direttamente dalla classe PDO ... cosi' non par essere.
Ho provato anche con la quote del PDStatment ma non funziona ...

Possibili altre soluzioni?

**luca200** · 04-09-2014, 11:37

fai un esempio e specifica gli errori

**drstefa** · 04-09-2014, 11:45

codice:

INSERT INTO mytable ('col1', 'col2', 'textarea', 'data') VALUES ('A,'B','sono un apice '','2014-09-04 11:42:32');Error!: SQLSTATE[42000]: Syntax error or access violation: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '2014-09-04 11:42:32')' at line 1

**boots** · 04-09-2014, 12:48

cosa passi a doquery() ?

**luca200** · 04-09-2014, 15:48

--sbagliato---

**luca200** · 04-09-2014, 15:53

Se scrivi la query in quel modo è chiaro che non ti fa nessun escape. Devi usare i parametri

**drstefa** · 04-09-2014, 16:02

Originariamente inviata da boots

cosa passi a doquery() ?

Originariamente inviata da luca200

Se scrivi la query in quel modo è chiaro che non ti fa nessun escape. Devi usare i parametri

La funzione viene passata come stringa query e parametri in array quindi, chiamata esempio:

$query = "INSERT INTO mytable ('col1', 'col2', 'textarea', 'data') VALUES (:a,:b,:c,:d)";
$result = doquery($query,array(":a"=>"A",":b"=>"B";":c"=>"so no un' apice";":c"=>"2014-09-04 11:42:32"));

**satifal** · 04-09-2014, 16:09

Devi utilizzare bindValue() o bindParam()

**boots** · 04-09-2014, 16:53

Controlla gli apici di
INSERT INTO mytable ('col1', 'col2', 'textarea', 'data')
Gli apici non ci vanno, oppure devi usare i back-quotes

**drstefa** · 05-09-2014, 11:24

Originariamente inviata da satifal

Devi utilizzare bindValue() o bindParam()

Se vedi nella funzione li ho commentati perche' non funzionava comunque.

Discussione: PDO: Errore nella causa apici e virgolette

Strumenti discussione

Ricerca discussione

Visualizza

PDO: Errore nella causa apici e virgolette

Permessi di invio