Кто-нибудь может понять, что не так с этим заявлением PHP PDO [duplicate]
Что такое NullPointerException?
Хорошим местом для начала является JavaDocs . Они охватывают это:
Брошено, когда приложение пытается использовать null в случае, когда требуется объект. К ним относятся:
- Вызов метода экземпляра нулевого объекта.
- Доступ или изменение поля нулевого объекта.
- Выполнение длины null, как если бы это был массив.
- Доступ или изменение слотов с нулевым значением, как если бы это был массив.
- Бросать нуль, как если бы это было значение Throwable.
Приложения должны бросать экземпляры этого класса для указания других незаконных видов использования нулевого объекта.
Также, если вы попытаетесь использовать нулевую ссылку с
synchronized, который также выдаст это исключение, за JLS :SynchronizedStatement: synchronized ( Expression ) Block
- В противном случае, если значение выражения равно null,
NullPointerException.Как это исправить?
Итак, у вас есть
NullPointerException. Как вы это исправите? Возьмем простой пример, который выдаетNullPointerException:public class Printer { private String name; public void setName(String name) { this.name = name; } public void print() { printString(name); } private void printString(String s) { System.out.println(s + " (" + s.length() + ")"); } public static void main(String[] args) { Printer printer = new Printer(); printer.print(); } }Идентифицирует нулевые значения
. Первый шаг - точно определить , значения которого вызывают исключение . Для этого нам нужно выполнить некоторую отладку. Важно научиться читать stacktrace . Это покажет вам, где было выбрано исключение:
Exception in thread "main" java.lang.NullPointerException at Printer.printString(Printer.java:13) at Printer.print(Printer.java:9) at Printer.main(Printer.java:19)Здесь мы видим, что исключение выбрано в строке 13 (в методе
printString). Посмотрите на строку и проверьте, какие значения равны нулю, добавив протоколирующие операторы или используя отладчик . Мы обнаруживаем, чтоsимеет значение null, а вызов методаlengthна него вызывает исключение. Мы видим, что программа прекращает бросать исключение, когдаs.length()удаляется из метода.Трассировка, где эти значения взяты из
Затем проверьте, откуда это значение. Следуя вызовам метода, мы видим, что
sпередается сprintString(name)в методеprint(), аthis.name- null.Трассировка, где эти значения должны быть установлены
Где установлен
this.name? В методеsetName(String). С некоторой дополнительной отладкой мы видим, что этот метод вообще не вызывается. Если этот метод был вызван, обязательно проверьте порядок , что эти методы вызывают, а метод set не будет называться после методом печати. Этого достаточно, чтобы дать нам решение: добавить вызов
printer.setName()перед вызовомprinter.print().Другие исправления
Переменная может иметь значение по умолчанию (и
setNameможет помешать ему установить значение null):private String name = "";Либо метод
printStringможет проверить значение null например:printString((name == null) ? "" : name);Или вы можете создать класс, чтобы
nameвсегда имел ненулевое значение :public class Printer { private final String name; public Printer(String name) { this.name = Objects.requireNonNull(name); } public void print() { printString(name); } private void printString(String s) { System.out.println(s + " (" + s.length() + ")"); } public static void main(String[] args) { Printer printer = new Printer("123"); printer.print(); } }См. также:
Я все еще не могу найти проблему
Если вы попытались отладить проблему и до сих пор не имеете решения, вы можете отправить вопрос для получения дополнительной справки, но не забудьте включить то, что вы пробовали до сих пор. Как минимум, включите stacktrace в вопрос и отметьте важные номера строк в коде. Также попробуйте сначала упростить код (см. SSCCE ).
4 ответа
Пробовал следующий код
$db = new PDO("mysql:host={$dbhost};dbname={$dbname};charset=utf8", $dbuser, $dbpass, array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));
Тогда
try {
$db->query('SET NAMES gbk');
$stmt = $db->prepare('SELECT * FROM 2_1_paidused WHERE NumberRenamed = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));
}
catch (PDOException $e){
echo "DataBase Errorz: " .$e->getMessage() .'<br>';
}
catch (Exception $e) {
echo "General Errorz: ".$e->getMessage() .'<br>';
}
И получил
DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' LIMIT 1' at line 1
Если добавлено $db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); после $db = ...
Затем появилась пустая страница
Если вместо этого SELECT попытался DELETE, то в обоих случаях была получена ошибка, подобная
DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '* FROM 2_1_paidused WHERE NumberRenamed = '¿\' OR 1=1 /*' LIMIT 1' at line 1
Итак, мой вывод о том, что инъекции невозможно ...
Быстрый и грязный подход:
function exec_sql_from_file($path, PDO $pdo) {
if (! preg_match_all("/('(\\\\.|.)*?'|[^;])+/s", file_get_contents($path), $m))
return;
foreach ($m[0] as $sql) {
if (strlen(trim($sql)))
$pdo->exec($sql);
}
}
Разбивается на разумные конечные точки оператора SQL. Проверка ошибок отсутствует, защита от инъекций отсутствует. Поймите свое использование перед использованием. Лично я использую его для загрузки необработанных файлов миграции для тестирования интеграции.
-
1Это выходит из строя, если ваш файл SQL содержит какие-либо команды mysql builtin ... Вероятно, он также сдует ваш предел памяти PHP, если файл SQL большой ... Разделение на
;прерывается, если ваш SQL содержит определения процедур или триггеров. Много причин, почему это не хорошо. – Bill Karwin 19 October 2016 в 01:41
По прошествии половины дня с этим выяснилось, что PDO имеет ошибку, где ...
-
//This would run as expected:
$pdo->exec("valid-stmt1; valid-stmt2;");
-
//This would error out, as expected:
$pdo->exec("non-sense; valid-stmt1;");
-
//Here is the bug:
$pdo->exec("valid-stmt1; non-sense; valid-stmt3;");
Он выполнил бы "valid-stmt1;", остановился на "non-sense;" и никогда не выдавал ошибку. Не будет запускать "valid-stmt3;", возвращать true и лежать в том, что все работает хорошо.
Я ожидал бы, что это ошибка на "non-sense;", но это не так.
Здесь где я нашел эту информацию: Неверный запрос PDO не возвращает ошибку
Вот ошибка: https://bugs.php.net/bug.php ? id = 61613
Итак, я попытался сделать это с помощью mysqli и на самом деле не нашел твердого ответа на то, как он работает, поэтому я думал, что просто оставлю его здесь для тех, кто хотите использовать ..
try{
// db connection
$mysqli = new mysqli("host", "user" , "password", "database");
if($mysqli->connect_errno){
throw new Exception("Connection Failed: [".$mysqli->connect_errno. "] : ".$mysqli->connect_error );
exit();
}
// read file.
// This file has multiple sql statements.
$file_sql = file_get_contents("filename.sql");
if($file_sql == "null" || empty($file_sql) || strlen($file_sql) <= 0){
throw new Exception("File is empty. I wont run it..");
}
//run the sql file contents through the mysqli's multi_query function.
// here is where it gets complicated...
// if the first query has errors, here is where you get it.
$sqlFileResult = $mysqli->multi_query($file_sql);
// this returns false only if there are errros on first sql statement, it doesn't care about the rest of the sql statements.
$sqlCount = 1;
if( $sqlFileResult == false ){
throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], [".$mysqli->errno."]: '".$mysqli->error."' }");
}
// so handle the errors on the subsequent statements like this.
// while I have more results. This will start from the second sql statement. The first statement errors are thrown above on the $mysqli->multi_query("SQL"); line
while($mysqli->more_results()){
$sqlCount++;
// load the next result set into mysqli's active buffer. if this fails the $mysqli->error, $mysqli->errno will have appropriate error info.
if($mysqli->next_result() == false){
throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], Error No: [".$mysqli->errno."]: '".$mysqli->error."' }");
}
}
}
catch(Exception $e){
echo $e->getMessage(). " <pre>".$e->getTraceAsString()."</pre>";
}
-
1Нет ничего плохого в самом ответе. В нем объясняется, как выполнять несколько запросов. Ваше предположение о том, что ответ ошибочен, исходит из предположения, что запрос содержит пользовательский ввод. Существуют допустимые варианты использования, при которых одновременная отправка нескольких запросов может принести пользу производительности. Вы можете предложить использовать процедуры в качестве альтернативного ответа на этот вопрос, но это не делает этот ответ плохим. – Gajus 21 April 2014 в 12:53
-
2Код в этом ответе плох и способствует некоторым очень вредным практикам (использование эмуляции для подготовки операторов, которые делают код открытым для уязвимости SQL-инъекции ). Не используйте его. – tereško 24 April 2014 в 20:32
-
3Ничего плохого в этом ответе и режима эмуляции в частности. Он включен по умолчанию в pdo_mysql, и если возникнут какие-либо проблемы, уже будут тысячи инъекций. Но никто еще не приблизился. Такие дела. – Your Common Sense 24 April 2014 в 21:06
-
4Фактически, только тот, кто сумел обеспечить не только эмоции, но и некоторые аргументы, был ircmaxell. Однако ссылки, которые он привел, совершенно неактуальны. Первый из них неприменим вообще, поскольку он явно говорит ". PDO всегда невосприимчив к этой ошибке. & Quot; В то время как второй вариант можно разрешить, установив правильное кодирование. Поэтому он заслуживает внимания, а не предупреждения и менее привлекательного. – Your Common Sense 28 April 2014 в 09:45
-
5Говоря как человек, который пишет инструмент миграции, который использует SQL, который написаны только нашими разработчиками (например, SQL-инъекция, это не проблема), это очень помогло мне, и любые комментарии, указывающие на то, что этот код вреден, не полностью понимают все контексты для его использования. – Luke 6 April 2016 в 09:20
-
6Работает ли он, если вы запускаете только
$pdo->exec("valid-stmt1; non-sense; valid-stmt3;");без двух предыдущих exec? Я могу получить его в ошибках броска в середине, но не при выполнении после успешных execs . – Jeff Puckett 18 October 2016 в 20:08 -
7
-
8Мои плохие, эти 3
$pdo->exec("")не зависят друг от друга. Я теперь разделил их, чтобы указать, что они не должны быть в последовательности для возникновения проблемы. Эти 3 представляют собой 3 конфигурации выполнения нескольких запросов в одном из операторов exec. – Sai Phaninder Reddy J 19 October 2016 в 01:24 -
9Интересно. У вас была возможность увидеть мой вопрос? Интересно, было ли это частично исправлено, потому что я могу получить ошибку, если она единственная
execна странице, но если я запускаю несколькоexecкаждый с несколькими операторами SQL в них, тогда я воспроизвожу ту же ошибку здесь. Но если это единственнаяexecна странице, я не могу воспроизвести ее. – Jeff Puckett 19 October 2016 в 02:43 -
10У этого
execна вашей странице было несколько заявлений? – Sai Phaninder Reddy J 19 October 2016 в 22:16
Попробуйте эту функцию: несколько запросов и вставка нескольких значений.
function employmentStatus($Status) {
$pdo = PDO2::getInstance();
$sql_parts = array();
for($i=0; $i<count($Status); $i++){
$sql_parts[] = "(:userID, :val$i)";
}
$requete = $pdo->dbh->prepare("DELETE FROM employment_status WHERE userid = :userID; INSERT INTO employment_status (userid, status) VALUES ".implode(",", $sql_parts));
$requete->bindParam(":userID", $_SESSION['userID'],PDO::PARAM_INT);
for($i=0; $i<count($Status); $i++){
$requete->bindParam(":val$i", $Status[$i],PDO::PARAM_STR);
}
if ($requete->execute()) {
return true;
}
return $requete->errorInfo();
}
but you risk to be injected with multiple queries.Мой ответ о введении – Andris 20 January 2015 в 14:30