sql >> Databasteknik >  >> RDS >> Mysql

Finns det något sätt för PHP att validera en SQL-syntax utan att köra den?

Från och med MySQL 5.6.3 kan du använda EXPLAIN för de flesta frågor

Jag gjorde den här och den fungerar utmärkt:

function checkMySqlSyntax($mysqli, $query) {
   if ( trim($query) ) {
      // Replace characters within string literals that may *** up the process
      $query = replaceCharacterWithinQuotes($query, '#', '%') ;
      $query = replaceCharacterWithinQuotes($query, ';', ':') ;
      // Prepare the query to make a valid EXPLAIN query
      // Remove comments # comment ; or  # comment newline
      // Remove SET @var=val;
      // Remove empty statements
      // Remove last ;
      // Put EXPLAIN in front of every MySQL statement (separated by ;) 
      $query = "EXPLAIN " .
               preg_replace(Array("/#[^\n\r;]*([\n\r;]|$)/",
                              "/[Ss][Ee][Tt]\s+\@[A-Za-z0-9_]+\s*:?=\s*[^;]+(;|$)/",
                              "/;\s*;/",
                              "/;\s*$/",
                              "/;/"),
                        Array("","", ";","", "; EXPLAIN "), $query) ;

      foreach(explode(';', $query) as $q) {
         $result = $mysqli->query($q) ;
         $err = !$result ? $mysqli->error : false ;
         if ( ! is_object($result) && ! $err ) $err = "Unknown SQL error";
         if ( $err) return $err ;
      }
      return false ;
  }
}

function replaceCharacterWithinQuotes($str, $char, $repl) {
    if ( strpos( $str, $char ) === false ) return $str ;

    $placeholder = chr(7) ;
    $inSingleQuote = false ;
    $inDoubleQuotes = false ;
    for ( $p = 0 ; $p < strlen($str) ; $p++ ) {
        switch ( $str[$p] ) {
            case "'": if ( ! $inDoubleQuotes ) $inSingleQuote = ! $inSingleQuote ; break ;
            case '"': if ( ! $inSingleQuote ) $inDoubleQuotes = ! $inDoubleQuotes ; break ;
            case '\\': $p++ ; break ;
            case $char: if ( $inSingleQuote || $inDoubleQuotes) $str[$p] = $placeholder ; break ;
        }
    }
    return str_replace($placeholder, $repl, $str) ;
 }

Det kommer att returnera False om sökfrågan är OK (flera; separerade satser tillåtna), eller ett felmeddelande som anger felet om det finns en syntax eller annan MySQL-andra (som icke-existerande tabell eller kolumn).

PHP-fiol

KÄNDA BUGGAR:

  • MySQL-fel med radnummer:radnumren kommer oftast inte att matcha.
  • Fungerar inte för andra MySQL-satser än SELECT, UPDATE, REPLACE, INSERT, DELETE


  1. En oväntad bieffekt av att lägga till ett filtrerat index

  2. Ställ in värdet på NULL i MySQL

  3. Hur ska jag gå tillväga för att indexera för en fråga med två intervallvillkor?

  4. Oracle Security Alert för CVE-2021-44228