Почему возникает SQLSTATE[HY000]: General error: 2014 при прямой вставке данных в MySQL таблицы через DBAL?

Question

[Александр Попов]

У меня есть код, который вставляет строки из гугл-таблиц (бизнес-требование заказчика) в MySQL таблицы. Ради увеличения скорости я делаю это через SQL INSERT(), не создавая Entity объекты.

При этом я получаю следующую ошибку на строке $this->parseTestQuestions(...); в том случае, если перед этим закомментировать строку с unset().

В других методах у меня нигде нет unset(), и тем не менее оно работает. Более того, если закомментировать вызов $stmt->executeQuery();, ошибка тоже уходит.

Текст ошибки говорит о том, что набор результатов не пустой, однако у меня нет ни одного SELECT запроса (кроме того, который получает пользователя и делается самим Symfony фреймворком ещё до моего метода) и нет ни одного курсора. Более того, у меня нет высокоуровневого способа пересоздать/закрыть соединение или вызвать close() метод на объекте Statement (такого метода не существует).

Вопрос в следующем: что происходит, является ли это нормальным, и правильное ли решение я выбрал? Почему это работает без unset(), если делать все вставки в параллельных методах (а не вызывать вспомогательные методы из основного, как я сделал здесь)? PHP или фреймворк автоматически закрывают открытые соединения с БД в конце любого метода, и вызывают unset() на всех внутренних переменных? Если да, то как технически это реализовано? Почему вообще unset этой переменной решает проблему?

private function parseTests(Google_Service_Sheets $sheetsService, string $googleFileId): array
    {
        $range = "'Tests'!A2:B200";
        /* Получаем данные из Google Spreadsheets */
        $data = $sheetsService->spreadsheets_values->get($googleFileId, $range)->getValues();

        $sql = "DELETE FROM `library_test`; ALTER TABLE `library_test` AUTO_INCREMENT=0;\n";
        for ($i = 0; $i < count($data); $i++) {
            /* Удаление строк с недостаточным числом ячеек либо отсутствующими id,
               а также с пустыми названиями */
            if ($data[$i][0] === '' || count($data[$i]) < 2 || !$data[$i][1]) {
                array_splice($data, $i--, 1);
                continue;
            }
            /* Вставка данных */
            $sql .= "INSERT INTO `library_test` VALUES ({$data[$i][0]}, '{$data[$i][1]}', NOW());\n";
        }
        /* Если у нас нет строк, то ничего делать не нужно */
        if ($sql != '') {
            $stmt = $this->em->getConnection()->prepare($sql);
            $stmt->executeQuery();
        }
        /* Без этой строки мы получим ошибку SQLSTATE[HY000]: General error: 2014 */
        unset($stmt);

        /* Импорт вопросов к тестам */
        $this->parseTestQuestions($sheetsService, $googleFileId, $data);
        /* Импорт ответов на вопросы к тестам */
        $this->parseTestAnswers($sheetsService, $googleFileId, $data);

        return $data;
    }

Вот минимальный пример ошибки на чистом PDO без Symfony и Doctrine:

<?php

class Test
{
   
    private $conn;
   
    public function __construct()
    {
        $this->conn = new PDO('mysql:dbname=test_db;host=localhost', 
            'login', 
            'password', 
            array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES 'utf8'")
        );
    }
   
    public function insertData()
    {
        $st = $this->conn->prepare("CREATE TABLE IF NOT EXISTS `test` (`id` INT NOT NULL, `name` VARCHAR(45) NULL, PRIMARY KEY (`id`));\nDELETE FROM `test`;\n".
                                   "INSERT INTO `test` VALUES(1, 'A'), (2, 'B');");
        $st->execute();
        /* Without this line we are getting an SQL error */
        $st->closeCursor();
      
        $this->insertDataInner1();
        $this->insertDataInner2();
      
        echo "OK";
    }
   
    public function insertDataInner1()
    {
        $st = $this->conn->prepare("CREATE TABLE IF NOT EXISTS `test_a` (`id` INT NOT NULL, `name` VARCHAR(45) NULL, PRIMARY KEY (`id`));\nDELETE FROM `test_a`;\n".
                                   "INSERT INTO `test` VALUES(1, 'A'), (2, 'B');");
        $st->execute();
      
    }
   
    public function insertDataInner2()
    {
        $st = $this->conn->prepare("CREATE TABLE IF NOT EXISTS `test_b` (`id` INT NOT NULL, `name` VARCHAR(45) NULL, PRIMARY KEY (`id`));\nDELETE FROM `test_b`;\n".
                                   "INSERT INTO `test` VALUES(1, 'A'), (2, 'B');");
        $st->execute();
      
    }
   
    public function selectData()
    {
        $st = $this->conn->prepare("SELECT * FROM `test` WHERE `id` < :id");
        $st->execute(array('id' => '100'));
        $array = $st->fetchAll(PDO::FETCH_ASSOC);
        print_r($array);
    }
}


$obj = new Test();
$obj->insertData();

/* 

This way it works just fine without closing the cursor

$obj->insertDataInner1();
$obj->insertDataInner2();

*/

?>

Answer 1

[Ипатьев]

Потому что при работе через API запросы должны выполняться по одному, а не кучей.
Все эти точечки с запятой предназначены для консоли, а через API с мультизапросами всегда будут проблемы (даже если у какого-то умника в его песочнице с куличиками проблем до сих пор не было).
Потому что API предназначено для выполнения запросов по одному.

Тем более что здесь нужно всего три запроса, а не 100500. Множественная вставка делается не так, а одним запросом. При этом, как нас учат в первом классе, запросы должны быть параметризованными а не вот это вот всё.

Comments

[Александр Попов]

А почему с ними будут проблемы? Если вызывать напрямую, а не как здесь (метод изнутри метода), то проблем нет. Мне кажется, вы немного не в ту сторону смотрите :) Проблема в том, что нужно закрывать курсор, но почему-то нигде в мануалах про это ни слова не сказано.

[Александр Попов]

Я добавил ещё один пример

[Ипатьев]

Вам в мануал еще рано смотреть, вы там ничего не поймете. Сначала надо букварь осилить и научиться писать нормально, а не вот этот говнокод. Научитесь сначала запросы выполнять к базе данных нормально.
Тогда и проблем никаких не будет.

[Александр Попов]

Ипатьев, а где здесь говнокод? На мой взгляд, всё вполне аккуратно написано и нормально работает. Если вы сами не знаете, в чём причина ошибки, то не нужно хамить - лучше попробуйте разобраться в вопросе сначала.

[Александр Попов]

Обратите внимание на второй сниппет - я поменял там формат INSERT-ов, сделав один вместо двух. И это вообще никаким образом на результат не влияет. По сути это не важно, PDO и нижележащий драйвер достаточно умные, чтобы интерпретировать обе формы записи одинаково.

[Александр Попов]

запросы должны быть параметризованными

В мануале, который первым выдаёт гугл, к сожалению нет примера множественной параметризации на случай, когда у нас массив строк.

А она здесь в принципе нужна ради чего, для экранирования данных? Так эта таблица - доверенный источник, её в идеале редактирует только один человек, и проверяет её корректность.

[Ипатьев]

Вы смеётесь что ли? Я вам специально, жирным шрифтом выделил, запросы должны выполняться по одному. А у вас в новом примере их еще больше в каждое обращение к БД напихано.

Для решения вашей задачи требуются базовые знания по конкатенации строк и выполнению запросов в РНР. И всего три запроса, выполняемых по отдельности.

$conn = $this->em->getConnection();
$conn->query("DELETE FROM `library_test`");
$conn->query("ALTER TABLE `library_test` AUTO_INCREMENT=0");
$values = "";
$params = [];
for ($i = 0; $i < count($data); $i++) {
            /* Удаление строк с недостаточным числом ячеек либо отсутствующими id,
               а также с пустыми названиями */
            /* Вставка данных */
    $values .= $values ? "," : "";
    $values .= "(?,?, NOW())";
    array_push($params, $data[$i][0], $data[$i][1]);
}
/* Если у нас нет строк, то ничего делать не нужно */
if ($values) {
    $sql = "INSERT INTO `library_test` VALUES $values";
    $conn->prepare($sql)->execute($params);
}

[Александр Попов]

Потому что API предназначено для выполнения запросов по одному

А многопоточность как же? Или здесь всё в один поток, потому что гарантируется порядок исполнения?

С другой стороны, в случае вставок в одну таблицу нам реально не принципиально, в каком порядке они произойдут, и нас бы устроил и параллельный вариант - хотя не факт, что оно на самом деле так работает. Очень может быть, что да, строго последовательно.

Ну и вообще, покажите, где написано, что нельзя использовать несколько запросов через точку с запятой. У меня всю жизнь это работало, ещё в mysql_query(), и не было никаких проблем.

Да, это визуально грязный и не очень аккуратный подход, но он рабочий и он разрешён.

[Александр Попов]

Ипатьев, да, так выглядит симпатичнее, спасибо. Но причина ошибки же не в этом всё равно :)

И во втором примере я как раз сделал как вы сказали: заменил множественные INSERT на один с запятыми. У вас же претензия к наличию точек с запятой была?

Вы можете вообще выкинуть вставку второй строки (из двух в примере), и всё равно ничего не изменится.

И, кстати, ваш вариант в плане итогового результата ничем не отличается от моего второго примера, кроме наличия параметризации. Всё те же (val1, val2) группы через запятую.

[Ипатьев]

Вы реально не видите, даже после того как я всё разжевал?

$sql = "DELETE FROM `library_test`; ALTER TABLE `library_test` AUTO_INCREMENT=0;\n";

Тут ДВА запроса. Точка с запятой никуда не делась

$st = $this->conn->prepare("CREATE TABLE IF NOT EXISTS `test_a` (`id` INT NOT NULL, `name` VARCHAR(45) NULL, PRIMARY KEY (`id`));\nDELETE FROM `test_a`;\n".
"INSERT INTO `test` VALUES(1, 'A'), (2, 'B');");

Тут ТРИ запроса. Точки с запятой НИКУДА не делись. КОТОРЫЕ И ЯВЛЯЮТСЯ ПРИЧИНОЙ ОШИБКИ

[tukreb]

Александр Попов, вообще судя по коду, вам рано переходить на RAW SQL :) лучше используйте возможности Доктрины, если боитесь посылать куча запросов по одному, то для этого есть https://www.doctrine-project.org/projects/doctrine...

Ну или по крайне мере используйте DBAL

[Александр Попов]

Ипатьев, поправил код второго примера, убрав полностью точки с запятой, а не только в рамках INSERT - и это действительно решило проблему. Спасибо, перепишу нормально.

Но я всё равно не понимаю, почему оно не работает с несколькими запросами - ведь разделить по точке с запятой и отправить несколько запросов в БД - это несложная операция? И PDO умеет её делать, судя по тому, что это работает у меня в других местах, и он при этом не выдаёт ни ошибок, ни предупреждений.

И почему есть разница в двух сценариях - с вложенным вызовом метода и без него?

[Ипатьев]

tukreb, это всё хорошо, но у него здесь нет никакой кучи запросов. И решая таким образом несуществующую проблему, вы просто добавите к этой куче говнокода ещё одну.

[tukreb]

Ипатьев, ну по коду у него там может быть и 10000 инсертов одним махом :)

[Ипатьев]

tukreb, вот их как раз быть и не должно. именно инсерт и должен быть один.

[Александр Попов]

tukreb, "вам рано переходить на RAW SQL" - простите, но я с него начинал ещё году в 2007-2008, и в целом неплохо знаю SQL :)
А то, что код местами паршивый - ну так да, хороших привычек нет.

[Александр Попов]

tukreb, по факту сейчас их в пределах полутора сотен. Дальше вряд ли станет сильно больше, учитывая размер и специфику проекта.

[Александр Попов]

Ипатьев, но тем не менее, покажите плиз где это задокументировано на официальном сайте. Если в документации этого нет - это таки баг.

[Akina]

я всё равно не понимаю, почему оно не работает с несколькими запросами - ведь разделить по точке с запятой и отправить несколько запросов в БД - это несложная операция?

Да не будет библиотека этого делать! К тому же просто разделить по точке с запятой - это гарантированно всё поломать, если указанный символ входит в состав строкового литерала. И что, теперь цеплять в библиотеку полноценный парсер?

Что написано, то и передаётся серверу в том виде, в каком написано. Это его парсеру разбираться.

А как только вы не просто исполняете запрос, а сперва его подготавливаете (prepare), то на сервер гарантированно уходит команда PREPARE, работающая с динамическим SQL. У которого есть ограничение - запрет на multi-query. И, как итог, гарантированная ошибка синтаксиса.

Можете ради любопытства включить на MySQL запись General Log, выполнить свой код и посмотреть, что же на самом деле было передано на сторону MySQL. Удивитесь...

[Ипатьев]

Akina, тут над вашим SQL накручено два уровня абстракции, так что выводы делать очень рано :)
В-первых, это доктрина, в которую таки встроен полноценный парсер :)
Я правда не уверен, задействован он в данном случае, или нет
Во-вторых, PDO как раз не поддерживает мультизапросы в режиме нативных подготовленных выражений. И если такой запрос работает, то это значит что данные соединяются с запросом на стороне клиента и в БД уже уходит обычный запрос.

[Ипатьев]

Александр Попов, баг-баг.
Пишите багрепорт. В спортлото.

[Akina]

Ипатьев,

И если такой запрос работает, то это значит что данные соединяются с запросом на стороне клиента и в БД уже уходит обычный запрос.

Кстати, вот любопытно было бы точно знать, во что преобразуются те или иные конструкции PHP при передаче на MySQL. Да только всё лень поставить и настроить PHP для работы с MySQL...

[Ипатьев]

Akina, в смысле?
Ну то есть как оно в бинарных пакетах уходит я конечно не смотрел, а в General Log, в зависимости от режима эмуляции PDO, либо query, либо prepare-execute-close stmt

[Vitsliputsli]

Александр Попов, MySQL не поддерживает множественные запросы для подготовленных выражений:
https://dev.mysql.com/doc/c-api/8.0/en/c-api-multi...
https://dev.mysql.com/doc/refman/8.4/en/prepare.html
но вы попрежнему можете их использовать без подготовленных выражений.

Akina,

Да не будет библиотека этого делать! К тому же просто разделить по точке с запятой - это гарантированно всё поломать, если указанный символ входит в состав строкового литерала. И что, теперь цеплять в библиотеку полноценный парсер?

Что написано, то и передаётся серверу в том виде, в каком написано. Это его парсеру разбираться.

В библиотеке PDO уже присутствует полноценный парсер SQL. Мало того, по-умолчанию для MySQL именно он и работает (а так как в коде выше автор не отключал эмуляцию подготовленных выражений, то и в его случае тоже). MySQL плохо работает с prepared statements и вероятно поэтому PDO предпочитает их не использовать.

[Ипатьев]

Vitsliputsli, но PDO-то поддерживает. Так что пользователь PDO может продолжать использовать prepare.
Парсер в PDO вообще ни разу не полноценный, а простая заменялка плейсхолдеров. В том числе для обеспечения поддержки эмуляции.

Впрочем, автора вопроса все равно интересует не это.

[Akina]

Vitsliputsli,

В библиотеке PDO уже присутствует полноценный парсер SQL.

Не погружался. Но чтение проблем на форумах оставило устойчивое впечатление, что там имеется весьма упрощённый парсер, и даже скорее просто валидатор. И тот не без закидонов. Хотя, может, в основном это просто потому, что версии библиотеки регулярно отстают от изменений синтаксиса в новых версиях СУБД. Во всяком случае, помню я, как один товарищ так и не смог победить этот парсер, когда у него был подзапрос в условиях связывания - вот ошибка, и застрелись!

[Vitsliputsli]

Ипатьев,

Vitsliputsli, но PDO-то поддерживает. Так что пользователь PDO может продолжать использовать prepare.
Парсер в PDO вообще ни разу не полноценный, а простая заменялка плейсхолдеров. В том числе для обеспечения поддержки эмуляции.

Поддерживает, но автор использует эмуляцию.
Он для эмуляции и создан, для prepared он и не нужен, там уже СУБД сама разберется. Полноценный не в смысле, что он всю грамматику разбирает. Но он и не просто заменялка, так как на нем полноценная защита от sql-инъекций.

[Vitsliputsli]

Akina, да, его цель защита от sql-инъекций, а для этого надо прям заморочиться с парсингом. Но это речь только про эмуляцию.
Классический пример, баг PDO, когда в китайской кодировке использовался особый символ кавычки, который парсер PDO воспринимал как кавычку, а СУБД нет, или наоборот. В итоге, проходили sql-инъекции.

[Ипатьев]

Александр Попов, мне нетрудно объяснить вам очевидные причины этой ошибки.
Но меня останавливают два момента
Во-первых, я считаю что вместо этого бессмысленного вопроса у вас есть куда более серьёзные проблемы.
Вам надо освежить память и вспомнить, что mysql_query вообще никогда не позволяла мультизапросы (были слухи что можно скомпилировать РНР с определенным ключиком, и тогда она будет позволять, но в реале этого никто никогда не видел).
Вам надо разобраться с нелепой фантазией про многопоточность в рамках одного соединения с БД.
Вам надо уяснить для себя, что защита от инъекций системы "проверенный человек вводит, мамой клянус!" - это детский лепет.
Вам надо научиться отслеживать логические нестыковки в коде
Вам надо научиться пользоваться гуглем, поскольку примеры находятся, просто надо не бросать после первого результата и уточнять поисковый запрос.
Ну или попытаться написать этот код самому - там не бином Ньютона.
И только после этого обращаться к области видимости (и зависящему от неё времени жизни) переменных.

А вторая проблема - ваше некоторое ваше зазнайство, которое постоянно проскакивает.
То окружающие не в состоянии понять ваши проблемы, то непонятное вам поведение языка - это не меньше как баг. А вариант, что причина в вашей неспособности работать с документацией вы даже не рассматриваете.
Такое отношение совсем не побуждает вам что-то объяснять.

[Александр Попов]

Akina, спасибо, теперь я начал понимать, что там происходит под капотом. Я раньше был уверен, что подстановку (prepare) делает именно PHP, точнее драйвер. В Doctrine вон этим код DQL парсера вообще занимается. Не знал про специальную SQL команду для этого.

Да, я вчера догадался задним числом про точку с запятой в литералах. Но вообще, почему бы и не написать такой парсер? Слишком ресурсоёмко? Так можно сделать его отключаемым. Ведь не все запросы реально длинные, и не все длинные запросы требуют подстановок.

[Александр Попов]

Ипатьев, во-первых, я вчера почитал код pdo_mysql, и понял, что там есть два режима - эмуляции и нативный. То есть, я полагаю, сам он тоже подстановку делать умеет, на всякий пожарный.

Во-вторых, я проверил на более старых версиях PHP, до 8.0. Сначала мне показалось, что там это работает идеально, как мне и хотелось бы, но потом я понял, что там всё хуже - ошибка проглатывается и часть операций не исполняется.

[Александр Попов]

Ипатьев, так потому я и сделал на коленке второй пример, потому что уже было понятно, что проблема не в Doctrine, а ниже :)

В смысле, я хочу сказать, что если бы работал парсер Doctrine (на самом деле я заглянул в код, где выбрасывается исключение, и там просто делегация вызова идёт всегда в PDOStatement) - то поведение было бы разным в этих примерах, а оно одинаковое.

[Александр Попов]

Vitsliputsli,

MySQL не поддерживает множественные запросы для подготовленных выражений

А вы не знаете, почему был выбран разработчиками такой принцип?

[Александр Попов]

Ипатьев,

Парсер в PDO вообще ни разу не полноценный, а простая заменялка плейсхолдеров

Он дробит строку на токены по наборам символов. Глубже не копал, но такое там есть, регулярки для этого используются.

[Александр Попов]

Ипатьев,

Ну или попытаться написать этот код самому

Вы про какой именно код? Я знаю, как можно исправить эту ошибку в конкретном тестовом коде, но меня те варианты не очень устраивают, не красиво всё это выглядит. Ваш же вариант лучше, но в нём несколько больше строк и он сложнее читается.

Вам надо уяснить для себя, что защита от инъекций системы "проверенный человек вводит, мамой клянус!" - это детский лепет

Это ещё почему? Если один человек вводит, наверное он не станет вводить данные, которые могут привести к инъекции. Тем более, это гугл-таблица, и на значительную часть ячеек там уже наложены ограничения формата.

Вам надо освежить память и вспомнить, что mysql_query вообще никогда не позволяла мультизапросы

Возможно, и правда, наверное я сам это придумал. Но вот mysqli уже позволяет, правда через специальную функцию/метод - mysqli_multi_query().

[Александр Попов]

Ипатьев,

что причина в вашей неспособности работать с документацией

Про это нет в документации. По крайней мере, в "быстрых обзорах PDO для начинающих". То, что мне скинули - это вообще документация для C, а не для PHP, и она не от авторов PHP. А раз этого нет - значит, или косяк в документации, или в реализации.

Эту проблему можно решить как минимум тремя путями: разрешить подготовленные мультизапросы в СУБД; сделать обход этой проблемы в драйвере, поделив мультизапрос на отдельные запросы; сделать патч DBAL в Doctrine, который сделает то же самое - проверит, есть ли точки с запятой вне литералов, и если есть, то поделит на отдельные запросы и исполнит их в цикле.

И я не знаю как с первым, но вторые два фикса я мог бы написать даже сам, это не атомный реактор спроектировать.

Мне просто странно, что никто до меня до этого не догадался. Или всем лень?

[Александр Попов]

Ипатьев, к тому же вы зря так иронизируете. Баги случаются иногда. Только между PHP 7.4 и PHP 8.0 в PDO расширении было исправлено 3-4 бага, из которых два связаны именно с этой областью (некорректное чтение данных из множественных наборов результатов, не совсем корректная обработка ошибок). Там даже номера исправленных багов стоят, так что можете проверить, что я не нафантазировал.

И в принципе, если бы не то обстоятельство, что это и правда ограничение MySQL, и ошибка прилетает именно с сервера - это был бы стопроцентный баг в модуле.

А так это просто странное решение авторов СУБД, которое можно пытаться обойти, а можно забить.

[Vitsliputsli]

Александр Попов,

А вы не знаете, почему был выбран разработчиками такой принцип?

Если вы про то, почему PDO использует по-умолчанию эмуляцию, а не настоящие подготовленные запросы, то это не очень хорошая реализация в MySQL. Там при высокой нагрузке не всегда во время очищаются сохраненные подготовленные запросы. В том же PostgreSQL такой проблемы не было. Но, может в последних версиях и починили.
Что касается отсутствия поддержки множественных запросов с подготовленными выражениями, не скажу. Вероятно, малая вероятность повторного использования при существенном усложнении хранения и обработки, да и подготовленное выражение это уже 3 запроса вместо 1го, т.е. никто не видит проблемы в нескольких запросах к серверу.

Если один человек вводит, наверное он не станет вводить данные, которые могут привести к инъекции.

Какой бы доверенный человек не был, завтра может быть другой или ктото получит его доступ. В любом случае, делать дыры допускающие инъекции плохая практика.

[Akina]

Vitsliputsli,

Что касается отсутствия поддержки множественных запросов с подготовленными выражениями, не скажу.

Источник такого запрета - основное назначение подготовленного запроса. Причём именно в MySQl, и именно по мнению разработчиков MySQl (не нынешнего Оракла, есссно). Так вот, его назначение - сэкономить на синтаксическом разборе и построении плана выполнения. По мнению разработчиков, основное назначение подготовленного запроса - итеративные процедуры, где единожды подготовленный запрос выполняется много раз с разными значениями параметров (не забывайте - итеративные конструкции в MySQL появились только в 8 версии, а подготовленные запросы - намного раньше). А поскольку MySQL в принципе не умеет строить план выполнения батчей, только для одиночного запроса, то это ограничение оптимизатора автоматом распространяется и на подготовленные запросы.

[Александр Попов]

Vitsliputsli,

при существенном усложнении хранения и обработки

Ну я не вижу там существенного усложнения обработки, кроме необходимости предварительно правильно разделить мультизапрос по точке с запятой. А малая вероятность, что кто-то захочет так сделать - так себе аргумент, чтобы создавать особые правила-исключения :)

Кроме того, драйвер мог бы сам делать это разделение хотя бы в режиме эмуляции, ИМХО, раз уж там всё равно один запрос уходит, а не три.

завтра может быть другой или кто-то получит его доступ

В таком случае инъекции станут меньшей из наших проблем. У нас source of truth - это именно гугл-документы, а не база. База нужна, например она хранит профили пользователей, результаты прохождения тестов, завершённые квесты - но она в некотором смысле вторична.

Ну и в крайнем случае, мне проще в цикле применить mysql_real_escape_string() или аналог, ну или просто проэкранировать все одиночные кавычки в строках (не факт, что этого достаточно, но существуенно усложнит атаку).

[Александр Попов]

Akina,

основное назначение подготовленного запроса - итеративные процедуры,

итеративные конструкции в MySQL появились только в 8 версии,

Какое-то противоречие :) Или я просто не понимаю, что такое итеративные конструкции?

[Akina]

Александр Попов, итеративные конструкции в ЗАПРОСЕ - это CTE.
Итеративные процедуры == итеративные ХРАНИМЫЕ объекты.

[Vitsliputsli]

Александр Попов,

при существенном усложнении хранения и обработки

по этому поводу, более точно и подробнее Akina ответил.

Ну и в крайнем случае, мне проще в цикле применить mysql_real_escape_string() или аналог, ну или просто проэкранировать все одиночные кавычки в строках (не факт, что этого достаточно, но существуенно усложнит атаку).

Можно экранировать с помощью mysqli или PDO, и это будет примерно тоже, что и эмуляция подготовленных выражений в PDO. Просто экранировать кавычки очень ненадежное решение.
Решать вам, но нужно понимать риски подобных решений. Главное преимущество в защите от инъекций, это то, что подготовленные выражения разделяют код SQL и данные для него, и сервер не будет исполнять данные как код, теоретически это дает полную гарантию невозможности инъекций. С экранированием такой уверенности нет, что практика и подтверждает.

[Александр Попов]

Akina, мы все в этом обсуждении упустили одну очень важную деталь.

Дело в том, что у меня падает не на мультизапросе, который я пытаюсь вызвать через prepare(), а на следующем запросе, но только в том случае, если я не сброшу переменную, и таким образом во внутреннем объекте в драйвере не вызовется деструктор.

Как вообще такое возможно? Если подготовленные мультизапросы не работают и не должны работать, почему мы не падаем с ошибкой прямо на этом запросе? А мы не падаем - я проверял, данные вставляются в таблицу в полном объёме, кроме того, если бы мы упали, как мне объяснили на StackOverflow, это было бы отражено в результате. Но я получал результат, и он был пустой.

Таким образом, проблема в том, что дефолтный режим запросов - unbuffered query, но драйвер в случае мультизапроса сам не закрывает соединение, ожидая этого действия от PHP (конец жизни переменной) либо от программиста.

Так вот я и спрашиваю, нафига так сделано и какая в этом логика...

А вместо этого мы свели вопрос к тому, что я плохо от инъекций защитил код.

[Александр Попов]

Akina, кроме того, я проведу ещё один эксперимент - хочу добавить в этот мультизапрос плейсхолдеры и сделать его параметризованным. Может, тогда он упадёт...

[Александр Попов]

Akina,

По мнению разработчиков, основное назначение подготовленного запроса - итеративные процедуры

Кстати, это странное мнение, учитывая, что я изучал разработку под Android, и там при прямой работе с SQLite подготовленные запросы используются буквально везде.

Понятно, что движки разные, но всё-таки странно сводить всё к хранимым процедурам... :)

[Ипатьев]

почему мы не падаем с ошибкой прямо на этом запросе?

Потому что там нет никакого подготовленного мульти запроса. Ни с плейсхолдерами, ни без.
Об этом много раз писали в этом треде, но вы же как тетерев на току - слышите только себя самого.

если бы мы упали, как мне объяснили на StackOverflow, это было бы отражено в результате.

как обычно, там соврали

Таким образом, проблема в том, что дефолтный режим запросов - unbuffered query

здесь абсолютно не при чём

сам не закрывает соединение

с какого перепугу-то он будет закрывать

А вместо этого мы свели вопрос к тому, что я плохо от инъекций защитил код.

Это вы и свели, начав двигать свои гениальные идеи по защите от инъекций.

[Александр Попов]

Ипатьев,

Потому что там нет никакого подготовленного мульти запроса. Ни с плейсхолдерами, ни без.

А что тогда есть? Я так и не понял. prepare() же вызывается PDO-шный?

как обычно, там соврали

Слабо в лицо это человеку сказать, который там отвечал? :)

с какого перепугу-то он будет закрывать

В случае PDO SQL запроса не через prepare() - вроде закрывает.

[Ипатьев]

В случае PDO SQL запроса не через prepare() - вроде закрывает.

Ну то есть получать запрошенные данные в случае PDO SQL запроса как бы и не надо. Выполнили, и сразу можно закрывать. Всё логично.

[Александр Попов]

Ипатьев, так я всё ещё не понимаю. Если prepared запросы нельзя делать составными, как мои INSERT-ы работают, ещё и без ошибки?

[Ипатьев]

Боже, я и подумать не мог, что вы реально побежите писать нелепый баг-репорт в РНР. Судя по всему, именно его вы называете словом stackowerflow. И разумеется, в своей манере переврали сказанное там, причем с точностью до наоборот. Там написано не будет отражено, а вы мне толкаете что будет.

[Александр Попов]

Ипатьев, а, я перепутал ресурс, в самом деле. Извините.

Но вы плохо прочитали, наверное, там именно человек пишет, что результат - это не только результат в виде набора строк, но в том числе и код ошибки, например. Где я что переврал?

[Ипатьев]

Вот он и он пишет, что чтобы получить ошибку, результат надо получить. А не выкидывать, как это делаете вы.
Давайте уж я вам разжую, чтобы вы больше не отнимали время у занятых людей.
ваши инсерты работают потому что в режиме эмуляции
почему происходит ошибка, вам разжевали на гитхабе - потому что вы не запросили результаты своих запросов, и они остались ждать на сервере. чтобы ошибки не было, эти результаты надо либо получить, либо выкинуть (при этом смысл cделать запрос, но не проверять его результат от меня ускользает).
при этом если результат не запросить, то ошибка и не будет в нем отражена.
совершенно очевидное поведение, когда локальная переменная уничтожается по завершении работы функции (которое пытаетесь формулировать через какой-то детский лепет про "параллельное выполнение" ) как раз это и делает: по завершении работы функции всем её переменным делается unset. чем и объясняется все загадочное волшебство, происходящее в ваших примерах.
при этом куда проще выполнять запросы по одному: тогда не нужно проверять результат каждого вручную, плюс не зависеть от режима эмуляции.

[Александр Попов]

Ипатьев,

что чтобы получить ошибку, результат надо получить

Я это делал, ошибки нет. Кроме того, все строки вставляются. Вы вообще читаете что я пишу?

ваши инсерты работают потому что в режиме эмуляции

Если в режиме эмуляции, там тем более не должно быть никакой ошибки (т.к. они для MySQL сервера уже обычные, а не prepared).

потому что вы не запросили результаты своих запросов, и они остались ждать на сервере

Но для единичного запроса без точек с запятой, который не prepared(), я могу ничего не получать, и при этом я ранее не ловил на нём ошибку. Это мне так везло (я обычно переиспользовал старую переменную), или там действительно её нет? Мне почему-то кажется, что второе, т.к. в ряде случае я использовал и разные переменные в древнем коде ещё с mysql расширением.

которое пытаетесь формулировать через какой-то детский лепет про "параллельное выполнение"

Вы вообще как, нормально себя чувствуете? Где я такое писал?

по завершении работы функции всем её переменным делается unset

Я и сам об этом догадался. На самом деле, это не совсем очевидно, теоретически в языке со сборщиком мусора переменные могут быть сброшены позже, во время плановой очистки памяти. Ну ок, теперь буду знать, что локальные переменные в PHP очищаются сразу.

при этом куда проще выполнять запросы по одному: тогда не нужно проверять результат каждого вручную

Ну так вы самое главное и не объяснили. В чём отличие одиночного запроса? Там тоже может прийти результат - но там его вручную проверять не нужно.

[Ипатьев]

Смешно :)
В целом я именно такую реакцию и предполагал, но проявил слабость. правда, не думал, что всё настолько плохо. Всё-таки, чванливость - главную причину ваших проблем - не пробить ничем.
Можете позориться дальше, я даю вам полный карт-бланш :)

[Александр Попов]

Ипатьев, можете и дальше продолжать эту клоунаду. Вы не в состоянии ответить на простой понятный вопрос, в чём сами выше и расписались. Я же с самого начала предполагал, что так и будет.

Надеюсь, на багтрекере мне ответят.

[Александр Попов]

Akina, а вы можете внести ясность? Почему нет ошибки, и почему при мультизапросе без prepared() поведение иное?

Раз мой пример отрабатывает с вызовом unset() - значит, действительно используется режим эмуляции. Если он используется - MySQL сервер получает несколько обычных запросов. То же самое происходит при использовании query(). Но результат разный, и это, кажется, можно объяснить только реализацией драйвера mysqlnd.

[Akina]

Александр Попов, не могу. Про PHP я знаю только то, что он существует. Получите и покажите General Log, желательно с привязкой к PHP-коду - тогда что-то можно будет говорить.