Как переделать запрос под Prepared Statement?

Question

[chifth]

Вообщем история такая:
Использую на сайте скрипт проверки выгружаемых файлов по md5. Код:

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], $raw_output = true);
$res_double = $db->query('SELECT * FROM `download__files` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
$res_double2 = $db->query('SELECT * FROM `download__more` WHERE `md5hash`="' . $md5_hash . '"')->fetch();

Но иногда попадаются файлы, которые из-за $raw_output = true в хэш выдают спецчимволы, и скрипт вылетает с ошибкой SQL:

Fatal error: Uncaught PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '?J!"' at line 1 in /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php:102 Stack trace: #0 /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php(102): PDO->query('SELECT * FROM `...') #1 /srv/disk2/2498365/www/oldfag.cf/downloads/index.php(141): require_once('/srv/disk2/2498...') #2 {main} thrown in /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php on line 102

В интернетах советуют использовать подготовленные запросы и биндить параметры, но я чайник.
Помогите пожалуйста написать правильный код :)

UPD 1:
Вообщем как не пробовал - всегда проблема именно в том, что в RAW $md5_hash есть двойные кавычки, они то и портят весь скрипт.
Надо бы как-то абстрагировать значение в переменную... хотя я не силен в РНР.
Но другие же как-то работают с md5?

Answer 1

[Alexander Pushkarev]

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], true);

$stmt = $pdo->prepare('SELECT * FROM download__files WHERE md5hash = :md5hash');
$stmt->execute(['md5hash' => $md5hash]);
$result = $stmt->fetchColumn();

Comments

[chifth]

а если у меня там 2 таблицы?
download__files и download__more?

[chifth]

вообщем попробовал так:

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], true);
				$stmt = $db->prepare('SELECT * FROM users download__files md5hash = :md5hash');
				$stmt->execute(['md5hash' => $md5_hash]);
				$res_double = $stmt->fetch();
				$stmt = $db->prepare('SELECT * FROM users download__more md5hash = :md5hash');
				$stmt->execute(['md5hash' => $md5_hash]);
				$res_double2 = $stmt->fetch();
				//$res_double = $db->query('SELECT * FROM `download__files` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
				//$res_double2 = $db->query('SELECT * FROM `download__more` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
				if (!empty($res_double)) {
					$error[] = '<div class="rmenu">Такой файл уже есть! <br> Загрузка: <b>' . $res_double['rus_name'] .'</b><br> Файл: <b>' . $res_double['name']  . '</b><br> Название ссылки: <b>' . $res_double['text'] .'</b></div><div class="phdr"><button><a href="?act=view&amp;id=' . $res_double['id'] . '">Перейти к файлу</a></button></div>';
					}
				if (!empty($res_double2)) {
					$error[] = '<div class="rmenu">Такой файл уже есть! Он находится среди дополнительных файлов к загрузке.<br> Имя ссылки: <b>' . $res_double2['rus_name'] .'</b><br> Имя файла: <b>' . $res_double2['name']  . '</b></div><div class="phdr"><button><a href="?act=view&amp;id=' . $res_double2['refid'] . '">Перейти к загрузке</a></button></div>';
					}

но не пашет:

Fatal error: Uncaught PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'md5hash = 'ڽ??????\"?J!'' at line 1 in /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php:103 Stack trace: #0 /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php(103): PDOStatement->execute(Array) #1 /srv/disk2/2498365/www/oldfag.cf/downloads/index.php(141): require_once('/srv/disk2/2498...') #2 {main} thrown in /srv/disk2/2498365/www/oldfag.cf/downloads/includes/files_upload.php on line 103

[chifth]

может как-то преобразовать RAW в обычный md5 ?

[chifth]

или как еще можно бороться с кавычками в RAW value?

[FanatPHP]

кавычки здесь не при чем. WHERE кто за тебя будет писать?

[Alexander Pushkarev]

chifth, исправил, там ошибка была

[chifth]

Ура, немножко подправил под свои переменные и сработало :)

[chifth]

Короче вышло так: (Помогите оптимизировать :)

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], true);
$stmt = $db->prepare('SELECT * FROM download__files WHERE md5hash = :md5hash');
$stmt->execute(['md5hash' => $md5_hash]);
$res_double = $stmt->fetch();
$stmt = $db->prepare('SELECT * FROM download__more WHERE md5hash = :md5hash');
$stmt->execute(['md5hash' => $md5_hash]);
$res_double2 = $stmt->fetch();		
//$res_double = $db->query('SELECT * FROM `download__files` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
//$res_double2 = $db->query('SELECT * FROM `download__more` WHERE `md5hash`="' . $md5_hash . '"')->fetch();
if (!empty($res_double)) {
$error[] = '<div class="rmenu">Такой файл уже есть! <br> Загрузка: <b>' . $res_double['rus_name'] .'</b><br> Файл: <b>' . $res_double['name']  . '</b><br> Название ссылки: <b>' . $res_double['text'] .'</b></div><div class="phdr"><button><a href="?act=view&amp;id=' . $res_double['id'] . '">Перейти к файлу</a></button></div>';
					}
if (!empty($res_double2)) {
$error[] = '<div class="rmenu">Такой файл уже есть! Он находится среди дополнительных файлов к загрузке.<br> Имя ссылки: <b>' . $res_double2['rus_name'] .'</b><br> Имя файла: <b>' . $res_double2['name']  . '</b></div><div class="phdr"><button><a href="?act=view&amp;id=' . $res_double2['refid'] . '">Перейти к загрузке</a></button></div>';
					}

[FanatPHP]

chifth, на случай если ты вдруг не заметил, оптимизированный вариант находится в ответе ниже.

Answer 2

[FanatPHP]

сначала пишем волшебную функцию

function pdo($db, $sql, $params = null) {
        if (!$params)
        {
             return $db->query($sql);
        }
        $stmt = $db->prepare($sql);
        $stmt->execute($params);
        return $stmt;
}

И после этого пишем почти такой же код, как и был

$md5_hash = md5_file($_FILES["fail"]["tmp_name"], true);
$res_double = pdo($db, 'SELECT * FROM `download__files` WHERE `md5hash`=?', [$md5_hash])->fetch();