Как переделать запрос под Prepared Statement?

Question

chifth @chifth

PHP
MySQL

Как переделать запрос под Prepared Statement?

Вообщем история такая:
Использую на сайте скрипт проверки выгружаемых файлов по md5. Код:

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], $raw_output = true);
$res_double = $db->query('SELECT * FROM `download__files` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
$res_double2 = $db->query('SELECT * FROM `download__more` WHERE `md5hash`="' . $md5_hash . '"')->fetch();

Но иногда попадаются файлы, которые из-за $raw_output = true в хэш выдают спецчимволы, и скрипт вылетает с ошибкой SQL:

Fatal error: Uncaught PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '?J!"' at line 1 in /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php:102 Stack trace: #0 /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php(102): PDO->query('SELECT * FROM `...') #1 /srv/disk2/2498365/www/oldfag.cf/downloads/index.php(141): require_once('/srv/disk2/2498...') #2 {main} thrown in /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php on line 102

В интернетах советуют использовать подготовленные запросы и биндить параметры, но я чайник.
Помогите пожалуйста написать правильный код :)

UPD 1:
Вообщем как не пробовал - всегда проблема именно в том, что в RAW $md5_hash есть двойные кавычки, они то и портят весь скрипт.
Надо бы как-то абстрагировать значение в переменную... хотя я не силен в РНР.
Но другие же как-то работают с md5?

Вопрос задан более трёх лет назад
91 просмотр

Комментировать

Подписаться 2 Простой Комментировать

Решения вопроса 1

9 комментариев

chifth @chifth Автор вопроса

а если у меня там 2 таблицы?
download__files и download__more?

Написано более трёх лет назад

chifth @chifth Автор вопроса

вообщем попробовал так:

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], true);
				$stmt = $db->prepare('SELECT * FROM users download__files md5hash = :md5hash');
				$stmt->execute(['md5hash' => $md5_hash]);
				$res_double = $stmt->fetch();
				$stmt = $db->prepare('SELECT * FROM users download__more md5hash = :md5hash');
				$stmt->execute(['md5hash' => $md5_hash]);
				$res_double2 = $stmt->fetch();
				//$res_double = $db->query('SELECT * FROM `download__files` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
				//$res_double2 = $db->query('SELECT * FROM `download__more` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
				if (!empty($res_double)) {
					$error[] = '<div class="rmenu">Такой файл уже есть! <br> Загрузка: <b>' . $res_double['rus_name'] .'</b><br> Файл: <b>' . $res_double['name']  . '</b><br> Название ссылки: <b>' . $res_double['text'] .'</b></div><div class="phdr"><button><a href="?act=view&amp;id=' . $res_double['id'] . '">Перейти к файлу</a></button></div>';
					}
				if (!empty($res_double2)) {
					$error[] = '<div class="rmenu">Такой файл уже есть! Он находится среди дополнительных файлов к загрузке.<br> Имя ссылки: <b>' . $res_double2['rus_name'] .'</b><br> Имя файла: <b>' . $res_double2['name']  . '</b></div><div class="phdr"><button><a href="?act=view&amp;id=' . $res_double2['refid'] . '">Перейти к загрузке</a></button></div>';
					}

но не пашет:

Fatal error: Uncaught PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'md5hash = 'ڽ??????\"?J!'' at line 1 in /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php:103 Stack trace: #0 /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php(103): PDOStatement->execute(Array) #1 /srv/disk2/2498365/www/oldfag.cf/downloads/index.php(141): require_once('/srv/disk2/2498...') #2 {main} thrown in /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php on line 103

Написано более трёх лет назад

chifth @chifth Автор вопроса

может как-то преобразовать RAW в обычный md5 ?

Написано более трёх лет назад
chifth @chifth Автор вопроса

или как еще можно бороться с кавычками в RAW value?

Написано более трёх лет назад
FanatPHP @FanatPHP

кавычки здесь не при чем. WHERE кто за тебя будет писать?

Написано более трёх лет назад
Alexander Pushkarev @AXP-dev

chifth, исправил, там ошибка была

Написано более трёх лет назад
chifth @chifth Автор вопроса

Ура, немножко подправил под свои переменные и сработало :)

Написано более трёх лет назад

chifth @chifth Автор вопроса

Короче вышло так: (Помогите оптимизировать :)

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], true);
$stmt = $db->prepare('SELECT * FROM download__files WHERE md5hash = :md5hash');
$stmt->execute(['md5hash' => $md5_hash]);
$res_double = $stmt->fetch();
$stmt = $db->prepare('SELECT * FROM download__more WHERE md5hash = :md5hash');
$stmt->execute(['md5hash' => $md5_hash]);
$res_double2 = $stmt->fetch();		
//$res_double = $db->query('SELECT * FROM `download__files` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
//$res_double2 = $db->query('SELECT * FROM `download__more` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
if (!empty($res_double)) {
$error[] = '<div class="rmenu">Такой файл уже есть! <br> Загрузка: <b>' . $res_double['rus_name'] .'</b><br> Файл: <b>' . $res_double['name']  . '</b><br> Название ссылки: <b>' . $res_double['text'] .'</b></div><div class="phdr"><button><a href="?act=view&amp;id=' . $res_double['id'] . '">Перейти к файлу</a></button></div>';
					}
if (!empty($res_double2)) {
$error[] = '<div class="rmenu">Такой файл уже есть! Он находится среди дополнительных файлов к загрузке.<br> Имя ссылки: <b>' . $res_double2['rus_name'] .'</b><br> Имя файла: <b>' . $res_double2['name']  . '</b></div><div class="phdr"><button><a href="?act=view&amp;id=' . $res_double2['refid'] . '">Перейти к загрузке</a></button></div>';
					}

Написано более трёх лет назад

FanatPHP @FanatPHP

chifth, на случай если ты вдруг не заметил, оптимизированный вариант находится в ответе ниже.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

Простой
Как лучше взять данные из большого файла по ключу не перебирая строки?
- 1 подписчик
- 11 минут назад
- 10 просмотров
1

ответ
JavaScript

+3 ещё

Простой
Почему приходят пустые данные с формы на почту?
- 1 подписчик
- час назад
- 36 просмотров
1

ответ
PHP

Простой
Каким образом формируются имена файлов из набора букв и цифр?
- 1 подписчик
- 10 часов назад
- 79 просмотров
2

ответа
PHP

Простой
Почему не применяются настройки xdebug.ini после изменения?
- 1 подписчик
- 22 часа назад
- 36 просмотров
1

ответ
PHP

+1 ещё

Простой
Как получить публичную ссылку на изображение с чата Телеграм?
- 1 подписчик
- 22 часа назад
- 67 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему перестали отображаться новости на детальной странице новостей?
- 1 подписчик
- 23 часа назад
- 59 просмотров
1

ответ
PHP

Простой
Почему ломается передача по ссылке в foreach с указанием оператора опциональной последовательности для массива?
- 1 подписчик
- вчера
- 64 просмотра
1

ответ
PHP

+1 ещё

Простой
Почему ошибка 502 после миграции с PHP 8.2 на PHP 8.3?
- 1 подписчик
- вчера
- 118 просмотров
2

ответа
PHP

+1 ещё

Средний
Как получить телефон из Google OAuth 2.0 API?
- 1 подписчик
- вчера
- 52 просмотра
1

ответ
PHP

+1 ещё

Средний
Как запускать PHP в терминале Netbeans?
- 2 подписчика
- вчера
- 220 просмотров
0

ответов
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Исправление багов в вебвью

26 апр. 2024, в 11:47

15000 руб./за проект

Требуется подсказать как скомпилировать приложение на C++ Qt

26 апр. 2024, в 11:30

1000 руб./за проект

Настроить ИИ модель IPadapter

26 апр. 2024, в 11:17

2000 руб./за проект

Answer 1 · 2018-09-28 17:08:13

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], true);

$stmt = $pdo->prepare('SELECT * FROM download__files WHERE md5hash = :md5hash');
$stmt->execute(['md5hash' => $md5hash]);
$result = $stmt->fetchColumn();

Answer 2 · 2018-09-28 18:14:17

сначала пишем волшебную функцию

function pdo($db, $sql, $params = null) {
        if (!$params)
        {
             return $db->query($sql);
        }
        $stmt = $db->prepare($sql);
        $stmt->execute($params);
        return $stmt;
}

И после этого пишем почти такой же код, как и был

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], true);
$res_double = pdo($db, 'SELECT * FROM `download__files` WHERE `md5hash`=?', [$md5_hash])->fetch();

Как переделать запрос под Prepared Statement?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт