【问题标题】:PDO syntax or access violation error with pagination script分页脚本的 PDO 语法或访问冲突错误
【发布时间】:2016-05-29 09:22:59
【问题描述】:

下面的代码可以工作,但是如果我输入一些组合,例如index.php?page_no(没有页面#)或page_no=0(零,但page_no=1 和上面的所有内容),或者如果我在网址中输入超过 19 个数字(例如,22222222222222222222)(在index.php?page_no= 之后)我收到以下错误:

Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '5.55555555556E+19,5' at line 1' in

Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-5,5' at line 1' in

我的代码如下:

分页

<?php
class pager {
    private $db;

    function __construct($DB_con) {
        $this->db = $DB_con;
    }

    public function dataview($query)
    {
        $stmt = $this->db->prepare($query);
        $stmt->bindParam(passport, $_GET['passport'], PDO::PARAM_INT);
        $stmt->execute();
        if ($stmt->rowCount() > 0) {
            while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
                ?>

                // some html here and some echo of columns

                <?php
            }
        }
    }

    public function pagers($query,$records_per_page) {
        $starting_position=0;
        if(isset($_GET["page_no"])) {
            $starting_position=($_GET["page_no"]-1)*$records_per_page;
        }
        $query2=$query." limit $starting_position,$records_per_page";
        return $query2;
    }

    public function pagerslink($query,$records_per_page)
    {
        $self = $_SERVER['PHP_SELF'];
        $stmt = $this->db->prepare($query);
        $stmt->bindParam(passport, $_GET['passport'], PDO::PARAM_INT);
        $stmt->execute();
        $total_no_of_records = $stmt->rowCount();
        if($total_no_of_records > 0)
        {
            ?><tr><td colspan="7"><?php
            $total_no_of_pages=ceil($total_no_of_records/$records_per_page);
            $current_page=1;
            if(isset($_GET["page_no"]))
            {
                $current_page=$_GET["page_no"];
            }
            if($current_page!=1) {
                $previous =$current_page-1;
                echo "<a href='".$self."?page_no=1'>First</a>&nbsp;&nbsp;";
                echo "<a href='".$self."?page_no=".$previous."'>Previous</a>&nbsp;&nbsp;";
            }
            $x="";
            for($i=1;$i<=$total_no_of_pages;$i++) {
                if($i==$current_page) {
                    $x.= "<strong><a href='".$self."?page_no=".$i."' 
style='color:red;text-decoration:none'>".$i."</a></strong>&nbsp;&nbsp;";
                }
                elseif ($i>6 && $i!=$total_no_of_pages) {
                    $x.= ".";
                }
                else {
                    $x.= "<a href='".$self."?page_no=".$i."'>".$i."</a>&nbsp;&nbsp;";
                }
            }
            echo $x;
            if($current_page!=$total_no_of_pages)
            {
                $next=$current_page+1;
                echo "<a href='".$self."?page_no=".$next."'>Next</a>&nbsp;&nbsp;";
                echo
                    "<a href='".$self."page_no=".$total_no_of_pages."'>Last</a>&nbsp;&nbsp;";
            }
        }
    }
}

索引

<?php
$query = "SELECT * FROM view-i-created ORDER BY passport DESC";
$records_per_page = 5;
$newquery = $pager->pagers($query,$records_per_page);
$pager->dataview($newquery);
$pager->pagerslink($query,$records_per_page);  
?>

我的 Config 文件的一部分(我最近添加了第一行,没有帮助):

$DB_con->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$DB_con->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

我已经 24-7 昼夜不停地为此工作了好几天。直到几周前我自己偶然发现了这个问题时,我才知道自己遇到了这个问题。

如果有人在这里阅读可以指导我正确的方向,我将非常感激。谢谢!

【问题讨论】:

  • -5 无效(不能低于 0),16 个字符太高。在盲目使用之前检查您的输入。
  • 这看起来像是将大于平台可以处理的最大整数值的值视为数字的典型结果,这意味着它将转换为浮点数、松散精度,并可能导致当您将其传输回字符串上下文时,正在使用的指数表示法。 // 这是一个实际的问题吗?你有那么多记录,传递这么高的页码是否有意义?我几乎不怀疑。因此,我建议您对传递的页码进行值检查,如果超出合理范围,则拒绝它。
  • “当你将它转移回字符串上下文时”——顺便说一句,你为什么这样做?您已经在使用准备好的语句,那么为什么不使用占位符来表示 LIMIT 值呢?
  • @aynber 我现在肯定会更彻底,我不再失明
  • @CBroe 你是对的,我绝对没有那么多记录需要这么高的页码。感谢您的指导

标签: php mysql pdo pagination


【解决方案1】:

乍一看,这似乎是同一个问题的两个方面:SQL 'LIMIT' 命令的参数无效。

一方面,您提供负值:

$starting_position=($_GET["page_no"]-1)*$records_per_page;

$query2=$query." limit $starting_position,$records_per_page";

当 'page_no' 为 0 时,限制最终为“LIMIT -5,5”,这是无效的。要解决此问题,请改用以下内容:

$limit_bounded = min(max(0, $starting_position), PHP_INT_MAX); // Bounded between 0 and PHP_INT_MAX, which is ~2147000000.
$query2=$query." limit $limit_bounded,$records_per_page";

在高端,您可能会看到整数溢出,或者只是使用了太多字符作为限制的上限。

作为一个安全问题,您应该转义您在 SQL 查询中使用的参数,尤其是当您从 $_GET 接收它们时,以防止 SQL 注入(恶意的人可能会请求“' DROP TABLES”或类似于 'page_no ' 变量并给您带来问题。)

【讨论】:

  • 非常感谢。你的回答非常有效。阅读您的答案后,我现在对 SQL LIMIT 命令和无效/有效限制有了更大程度的了解。也感谢您提醒有关安全问题(SQL 注入)。我已经接受了你的答案,另外我想投票给答案,但由于我的分数只有 3,我还没有能力这样做。
  • 关于 SQL 注入,如果我在分页中使用它 - $stmt = $this-&gt;db-&gt;prepare($query); $stmt-&gt;execute(); 然后在索引中使用它 - $query = 'SELECT * FROM view-i-created ORDER BY passport DESC'; 这会安全吗?
  • 老实说,我不想向您提供可能并非完全不准确的信息。在我看来,使用“prepare()”对于一般安全的应用程序来说是一个足够好的解决方案。不过,要获得详尽的解释,请查看stackoverflow.com/questions/134099/…
  • 我现在正在查看引用的线程。丰富的信息!我正在阅读有关一阶注入、二阶注入和未经检查的动态 sql 的更多信息。关于 PDO 准备好的语句和 SQL 注入的广泛且非常有用的信息。
猜你喜欢
  • 2013-04-06
  • 2017-03-06
  • 1970-01-01
  • 1970-01-01
  • 2013-05-14
  • 1970-01-01
  • 1970-01-01
  • 2018-10-09
  • 2015-03-23
相关资源
最近更新 更多