PDOに複文実行を禁止するオプションが追加されていた
エグゼクティブサマリ PHP 5.5.21、PHP 5.6.5 以降、PHPにPDO::MYSQL_ATTR_MULTI_STATEMENTSというオプションが追加され、PDO+MySQLの組み合わせで、SQLの複文を禁止できるようになった。この設定はSQLインジェクションの緩和策として有効である。 はじめに 2013年12月に公開した PHP+PDO+MySQLの組み合わせではSQLインジェクション攻撃で複文呼び出しが可能 にて、PDOとMySQLの組み合わせで、SQLインジェクションの文脈で複文呼び出しが可能であることを報告していましたが、その後のPHPのバージョンアップで、複文実行を禁止するオプションが追加されていましたので報告します。 対象のバージョンは以下の通りです。 PHP 5.5.21 以降 PHP 5.6.5 以降 全ての PHP 7.0、7.1 前述の記事を書いた後、3大
PDOフェッチパターン大全 - Qiita
忙しい人向け Q. PDO::FETCH_ASSOCでフェッチするとき,キーを整数連番じゃなくてidにする方法は? A. PDO::FETCH_UNIQUEを組み合わせる. $sql = "SELECT id, * FROM people WHERE gender = 'female'"; $rows = $pdo->query($sql)->fetchAll(PDO::FETCH_ASSOC|PDO::FETCH_UNIQUE); var_dump($rows); /* [ 3 => ['id' => '3', 'name' => 'Lucy', 'gender' => 'female'], 5 => ['id' => '5', 'name' => 'Mary', 'gender' => 'female'], ] */
突然のUnbuffered Query…PDO+MySQLで入り込んだ迷宮 - Qiita
CodeIgniterをバージョンアップしたところ、思わぬ形でPHPのバグを踏んでしまいました。 MySQLのバッファモード トラブルに見舞われるまで知らなかったのですが、PHPからMySQLを使う場合には、「バッファモード」と「非バッファモード」があります(リファレンス)。 バッファモード…SQLを発行すると、自動的にPHP側へ全データを取ってくる。デフォルト設定。 非バッファモード…SQLを発行した段階ではまだデータを取ってこない。 一見すると、非バッファモードのほうが便利そうに見えるのですが、1つ大きな問題があります。非バッファモードの場合、一度投げたクエリを始末し切るまで次のクエリが投げられないのです。もちろん、それを意識した上でPDOなりMySQLiなりを直接叩くのであればまだ使いでもあるのですが、(非バッファモードに対応しない)フレームワーク経由でDB接続するとなると、どこでク
PHP(PDO)でファイルをMySQLに保存するときに変更しなければいけない点 - Qiita
ファイルを物理ファイルではなく、データベースに保存する tableの設計 おそらく2択 MEDIUMBLOB およそ 16MB(2^24 - 1) 常識的な添付ファイルで使えるサイズ。 LONGBLOB およそ 4GB(2^32 - 1) 本当に4GBを格納するつもりならば考え直した方が良い。 とはいえ、16MB以上であれば必然的にこのサイズ。 TINYBLOB およそ 255B テキストくらいしかないだろうし、それならバイナリで持たせる必要ないかな。 BLOB およそ 64KB プロフィール画像とか? 昔、BLOBってんだからバイナリ無制限に入るんだろうとか思ってた。そもそも無制限とかありえないし実際全然入らなかった死にたい。 MySQLの設定 max_allowed_packet 確認 show variables like 'max_allowed_packet'; | max_al
PHP+PDO+MySQLの組み合わせではSQLインジェクション攻撃で複文呼び出しが可能
基礎からのPHPという書籍を読んでおりましたら、SQLインジェクションの攻撃例として、以下のSQL文ができあがる例が紹介されていました。PHP+PDO+MySQLという組み合わせです。 SELECT * FROM tb2 WHERE ban=1;delete from tb2 2つのSQL文がセミコロンで区切って1つにまとめられていますが、これを「複文(multiple statement)」と言います。私は、SQLインジェクション攻撃の文脈で複文が使える組み合わせを調べたことがあり、PHPとMySQLという組み合わせでは、複文は使えないと思っていましたので、この攻撃は成立しないのではないかと思いました。 しかし、決めつけも良くないと思い手元の環境で動かしてみたところ、あっさり動くではありませんか。 PDOを用いてMySQLを呼び出す場合は複文が実行できると気づきましたが、なぜPDOの場合
PDOにてMaster&Slaveのコネクションを操作するクラス(PHP)
CREATE TABLE `test_table` ( `id` int(11) NOT NULL DEFAULT '0', `name` varchar(255) DEFAULT NULL, PRIMARY KEY (`id`) ); <?php require_once('./pdo_database.php'); $pdo_db = new PdoDatabase(); $sql = 'INSERT INTO test_table values("1", "Sasagame Hiroshi")'; $rec = $pdo_db->exec($sql); $sql = 'INSERT INTO test_table values("2", "Sasagame Hiroshi")'; $rec = $pdo_db->exec($sql); var_dump($pdo_db->isMast
CakePHPのfind()で取得したデータが全てstring型になるのを、DBのカラムの型に合わせてint型で値を取得する方法(mysql) - cakephperの日記(CakePHP, MongoDB)
CakePHP2からはPDOを使ってDBアクセスするようになりました。PDO(mysql)では、デフォルト設定でデータをfetchするとint型のカラムでもstring型として結果が返ってきます。CakePHPもこの影響を受けており、jsonデータなどに変換する際や、型を厳密に扱いたい場合に影響がます。(CakePHP1では、PDOを使っていませんがintカラムはstringで返ってきます) この問題を解決するには、PHP5.3以上の環境でPDOのPDO::ATTR_EMULATE_PREPARESをオフにすれば良いです。PDOがmysqlndドライバを利用することが前提なのですが、PHP5.4からはデフォルトでmysqlndドライバが利用されるので大丈夫です。今回はPHP5.4の環境で検証しました。 PHP5.3ではPDOがmysqlndドライバを利用するためにコンパイルオプションを指定
MySQL関数が推奨されていないので自作クラスをPDOで書き直した。 | jlamp
<?php /************************************************************************ * * * PdoMysqlラッパークラス * * * ***********************************************************************/ define('PEAR_PAGER', 'Pager/Pager.php'); class PdoMysql { /* クラス内変数 */ private $dsn = NULL; private $dbh = NULL; public $param_page = 'page'; // ページ用のパラメータ名 private $hostname = 'localhost'; // ホスト名 private $username =
PDO から Doctrine DBAL への書き換え
PDO から Doctrine DBAL への書き換えDoctrine2: PDO を使うコードを Doctrine ORM に書き換える学習内容Doctrine DBAL についてDoctrine DBAL のセットアップSymfony、Silex との連携テーブルの作成とデータの投入PDO のコードDoctrine DBAL のコードSQL 実行と結果セット取得メソッドの種類型の種類その他の検討項目プレースホルダの形式bindValue と bindParam結果セットの形式を指定する場所学習内容 SQL の SELECT のプリペアドステートメントを実行する PDO のコードと Doctrine DBAL のコードを比較することで Doctrine DBAL をはじめて使う際の心理的抵抗感を減らす。プリペアドステートメントと暗黙の型変換による SQL インジェクションについて学ぶ。さ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHP :: Bug #36602 :: "MySQL server has gone away" with PDO::ATTR_PERSISTENT => true
https://codeday.me/jp/qa/20190706/1182016.html
MySQL "Gone Away" Error with Persistent PHP Connection
PHP7.2の新機能 - Qiita