JB *_*aux 139 php mysql pdo sql-parametrized-query
在PHP中,当使用带有参数化查询的PDO访问MySQL数据库时,如何检查最终查询(在替换所有令牌之后)?
有没有办法检查数据库真正执行的是什么?
JB *_*aux 55
所以我想我最终会回答我自己的问题,以便为记录提供完整的解决方案.但不得不感谢Ben James和Kailash Badu为此提供了线索.
简短答案
正如本詹姆斯所说:不.
PHP端不存在完整的SQL查询,因为带有forkens的查询和参数是分别发送到数据库的.仅在数据库端存在完整查询.
即使尝试在PHP端创建替换令牌的函数也不能保证替换过程与SQL版本相同(令牌类型,bindValue和bindParam等棘手的东西)
解决方法
这是我详细阐述Kailash Badu的答案.通过记录所有SQL查询,我们可以看到服务器上真正运行的是什么.使用mySQL,可以通过更新my.cnf(或者我的情况下使用Wamp服务器的my.ini)并添加如下行来完成:
log=[REPLACE_BY_PATH]/[REPLACE_BY_FILE_NAME]
只是不要在生产中运行!!!
Ben*_*mes 27
使用带参数值的预准备语句不仅仅是动态创建SQL字符串的另一种方法.您在数据库中创建预准备语句,然后单独发送参数值.
那么可能发送到数据库的将是a PREPARE ...,then SET ...和finally EXECUTE ....
您将无法获得某些SQL字符串SELECT * FROM ...,即使它会产生相同的结果,因为实际上并没有将这样的查询发送到数据库.
最初,我避免打开日志记录来监视PDO,因为我认为这很麻烦,但一点也不难。您不需要重新启动MySQL(在5.1.9之后):
在phpMyAdmin或您可能具有较高数据库特权的任何其他环境中执行此SQL:
SET GLOBAL general_log = 'ON';
在终端中,尾随日志文件。我的在这里:
>sudo tail -f /usr/local/mysql/data/myMacComputerName.log
您可以使用以下终端命令搜索mysql文件:
>ps auxww|grep [m]ysqld
我发现PDO可以逃避一切,所以您不能写
$dynamicField = 'userName';
$sql = "SELECT * FROM `example` WHERE `:field` = :value";
$this->statement = $this->db->prepare($sql);
$this->statement->bindValue(':field', $dynamicField);
$this->statement->bindValue(':value', 'mick');
$this->statement->execute();
因为它创建:
SELECT * FROM `example` WHERE `'userName'` = 'mick' ;
其中没有产生错误,只是一个空的结果。相反,我需要使用
$sql = "SELECT * FROM `example` WHERE `$dynamicField` = :value";
要得到
SELECT * FROM `example` WHERE `userName` = 'mick' ;
完成后,执行:
SET GLOBAL general_log = 'OFF';
否则您的日志将变得庞大。
| 归档时间: |
|
| 查看次数: |
114805 次 |
| 最近记录: |