Array-Parameter für Datenbase->prepare->execute

[styx7]

Hallo Comunity,

ich hatte versucht eine SELECT-Abfrage mit einem IN-Parameter aus einem Array zu erstellen und bin erst einmal gescheitet. Hier ein Beispiel was ich meine:

PHP-Code:

$citys = array("Bonn", "Kiel", "Berlin");
$this->Database->prepare("SELECT * FROM table WHERE city IN (?)")
               ->execute($citys); 


Gehofft hatte ich, dass damit ein

Code:

SELECT * FROM table WHERE city IN ("Bonn", "Kiel", "Berlin")

damit entsteht.
Die Profis werden schon erkennen, dass mir die Database::escapeParams() diese Idee durch ein simples serialize() verhagelt hat.

Da ich aber gene mal ein IN-Statement in SQL-Querys verwende, hätte ich folgenden Vorschlag, den ich gerne durch eure Meinung abgesichert hätte. Ist ja immerhin eine wichtige Funktion um SQL-Injections zu verhindern.

Meine Idee ist, da Arrays und Objects per serialize behandelt werden, eine spezielle Klasse für ein Array von Parametern zu definieren. Wird dieses dann erkannt, werden die einzelnen Parameter per escape behandelt und dann mit Kommas verknüpft.

PHP-Code:

class DBParamArray {  // special class which will not serialize
  public $Array;
  protected function __construct($Array)
  {  $this->$Array = $Array;  }
}

Database::escapeParams() 
{
  //[..]  Anfang unverändert
    case 'object':
      if ($arrParams[$k] instanceof DBParamArray)
      {
        $arrParam[$k] = implode(",", $this->escapeParams($arrParam[$k]));
        break;
      }
      $arrParams[$k] = $this->string_escape(serialize($v));
      break;

  //[..] Ende unverändert
} 


Damit sollte es doch möglich sein mit folgendem Aufruf:

PHP-Code:

     ->execute(new DBParamArray($Citys)); 


aus obigem Beispiel eine Parameterliste sauber durch die vorhandenen Funktionen aufbereiten lassen zu können.
Jeder einzelen Wert aus dem Array wird dann per escapeParam bearbeitet und die Änderung sollte auch abwärtskompatibel sein.

Wie seht ihr das?
Oder gibt es schon eine Möglichkeit für mein Problem, das ich leider nicht gefunden hatte?

PS: Gibt es vielleicht noch andere Abfragearten, bei denen ein Array mit Parametern übergeben werden soll, dass dann nicht mit einem Komma aneinander gehängt werden soll?

[FloB]

Interessante Idee. Damit hätte man auch bei der Behandlung eine Unterscheidung zwischen Arrays und Objekten (wenn auch nicht logisch nachvollziehbar). Allerdings – nach dem Code zu urteilen – werden Objekte bisher auch serialisiert gespeichert, was man nicht ohne weiteres ändern kann (es sei denn man nutzt eine Extraklasse und instanceof). Ich frage mich auch wie du darauf kommst, dass ein Array als alleiniges Parameter bei Database::execute() serialisiert wird – meines Wissens werden die Elemente des Arrays jeweils für einen Platzhalter eingesetzt. Und im Core werden (nach schnellem grep'en sichtbar) SQL-IN's immer im Code direkt implode'd.

Eine Pseudoklasse ist (bei deinem Beispiel) nicht nötig, es gibt in PHP ein nicht so bekanntes Feature: stdClass ist eine einfache leere Klasse, die man initialisieren kann, um Daten in einem Objekt (und nicht Array) zu speichern.

[andreas.schempp]

Warum machst du nicht einfach folgendes:

PHP-Code:

$this->Database->prepare("SELECT * FROM table WHERE city IN (?)")
->execute(implode("', '", $citys)); 


[styx7]

Hallo FloB

Allerdings – nach dem Code zu urteilen – werden Objekte bisher auch serialisiert gespeichert, was man nicht ohne weiteres ändern kann (es sei denn man nutzt eine Extraklasse und instanceof).

Ja, aber das beschreibe ich doch, oder was meinst du?

Ich frage mich auch wie du darauf kommst, dass ein Array als alleiniges Parameter bei Database::execute() serialisiert wird – meines Wissens werden die Elemente des Arrays jeweils für einen Platzhalter eingesetzt. Und im Core werden (nach schnellem grep'en sichtbar) SQL-IN's immer im Code direkt implode'd.

Das ein alleiniger Parameter nicht serialisiert wird, wusste ich nicht. Ich habe bisher immer mit mehreren Parametern gearbeitet und da werden Arrays serialisiert. Muss ich mal testen! Löst aber, glaube ich, nicht das Problem für IN-Statements.
Zu dem bisherigen SQL-IN: Wenn ich das immer im Code direkt implode, dann muss ich auch selbst für das richtige escapen sorgen. D.h. ich muss eigentlich eine eigene escapeParams schreiben. Bei reinen Integer-Werten, welche nicht als Parameter vom Browser kommen, ist das noch schnell erledigt. Bei Strings vom Browser würde ich schon gerne auf das bisherige zurück greifen. Also inklusive der Unterscheidung der gewählten Datenbank.

Eine Pseudoklasse ist (bei deinem Beispiel) nicht nötig, es gibt in PHP ein nicht so bekanntes Feature: stdClass ist eine einfache leere Klasse, die man initialisieren kann, um Daten in einem Objekt (und nicht Array) zu speichern.

Das mit der Pseudoklasse basiert auf mehreren Überlegungen.
1. Es könnte schon eine Extension exisiteren, die eine stdClass verwendet. Dann würde es dort krachen. (Thema Abwertskompatibilität)
2. Vielleicht wäre es auch sinnvoll das implode in die Klasse zu verschieben. Dann könnten auch andere Seperatoren als das Komma definiert werden. (Habe aber noch keine Idee wozu)
3. Deine Antwort hat mich aber auf die Idee gebracht, dass z.B. für ein LIKE ein prä- oder postfix "%" gebraucht werden könnte. So wie ich das aktuell sehe, werden die % auch escaped. So könnte die Pseudoklasse entsprechend erweitert werden.

So mal aus der Hüfte geschossen etwa so was (ungeprüft):

PHP-Code:

class DBParamArray {  // special class which will not serialize 
  public $Array; 
  public $Separator;
  protected function __construct($Array) 
  {
    $this->$Array = $Array;  
    $this->Separator = ",";
  } 
  function Get()
  { return implode($this->Separator, $this->$Array); }
} 


Und in der escapeParams Funktion müsste dann die folgende Zeile (im ersten Post leider unvollständig)

PHP-Code:

$arrParam[$k] = implode(",", $this->escapeParams($arrParam[$k]->Array)); 


geändert werden in

PHP-Code:

$arrParam[$k]->Array = $this->escapeParams($arrParam[$k]->Array);
$arrParam[$k] = $arrParam[$k]->Get(); 


Natürlich kann das auch schöner codiert werden...

PS: Kann man eigentlich auch die Database Classe gegen was eigenes austauschen, also so wie in bei den Modulen in https://contao.org/methoden-ueberschreiben.html beschreiben?

[styx7]

Hallo Andreas,

Warum machst du nicht einfach folgendes:

PHP-Code:

$this->Database->prepare("SELECT * FROM table WHERE city IN (?)")
->execute(implode("', '", $citys)); 


Wird dabei nicht folgendes gemacht:
1. implode ergibt dann "Bonn', 'Kiel', 'Berlin"
2. escapeParams mach daraus dann "Bonn\', \'Kiel\', \'Berlin"
Ergo werden aus drei Parametern einer.

Die ' müssten doch escaped werden, sind also für die Abfrage nicht mehr als Parameterbegrenzer nutzbar.
Das ist doch IMHO das schöne an der escapeParams-Funktion. Damit werden SQL-Injections schwerer, wenn nicht sogar verhindert. Den Ansatz hatte ich als erstes versucht und bin deshalb zu meinem ersten Vorschlag gekommen

[FloB]

PS: Kann man eigentlich auch die Database Classe gegen was eigenes austauschen, also so wie in bei den Modulen in https://contao.org/methoden-ueberschreiben.html beschreiben?

Nicht direkt, es gibt aber einen kleinen Trick: Da die Klassen erst per Autoloader eingebunden werden, kannst du vor dem ersten Aufruf der Klasse eine eigene Datenbankklasse mit dem selben Namen einbinden. Diese muss dann aber eine komplette Kopie sein, und kann nicht die alte Klasse erweitern (sonst gibt es natürlich einen Namensraumkonflikt). Eine eigene Klasse kannst du beispielsweise updatesicher in der initconfig.php einbinden.

[styx7]

@FloB: Danke, werde ich mal Testen.
TL macht mir immer mehr Spaß!

[palettenmann]

Warum machst du nicht einfach folgendes:

PHP-Code:

$this->Database->prepare("SELECT * FROM table WHERE city IN (?)")
->execute(implode("', '", $citys)); 


Perfekt, das hat meinen Tag gerettet.

EDIT:

muss mich korrigieren, das serialize() liegt dort wirklich quer.

Irgendwie fehlt mir dann aber die Idee wie ich nun mehrere Optionen in so einem SELECT benutzen soll.