PHP MySQL Class

Русскоязычная документация находится тут

アーカイブとしてダウンロードすることも、このサイトからクローンを作成することも、composer (packagist.org へのリンク) 経由でダウンロードすることもできます。

 composer require krugozor/database

krugozor/database 、PHP 拡張機能 mysqli を使用して、MySql データベースを簡単、便利、高速かつ安全に操作するための PHP 8.0 以降のクラス ライブラリです。

PHP で mysql データベースを操作する場合のすべてのライブラリの主な欠点は次のとおりです。

• 冗長性
  • 開発者には、SQL インジェクションを防ぐための 2 つのオプションがあります。
    • 準備されたクエリを使用します。
    • SQL クエリの本文に入るパラメータを手動でエスケープします。文字列パラメータは mysqli_real_escape_string 経由で実行され、期待される数値パラメータは適切な型 ( intおよびfloatに変換されます。
  • どちらのアプローチにも大きな欠点があります。
    • 準備されたクエリは非常に冗長です。 「すぐに使える」PDO 抽象化または mysqli 拡張機能を使用し、集約を行わない DBMS からデータを取得するすべての方法は単純に不可能です。テーブルから値を取得するには、少なくとも 5 行のコードを記述する必要があります。など、あらゆるリクエストに対応します。
    • SQL クエリの本文に入るパラメータを手動でエスケープすることについても説明されていません。優秀なプログラマ、怠惰なプログラマ。すべてを可能な限り自動化する必要があります。
• デバッグ用の SQL クエリを取得できません
  • SQL クエリがプログラム内で機能しない理由を理解するには、それをデバッグして、論理エラーまたは構文エラーを見つける必要があります。エラーを見つけるには、SQL クエリ自体を「見る」必要があります。SQL クエリ自体は、本体にパラメータが代入されてデータベースが「宣誓」します。それらの。高品位な SQL を作成しました。開発者が準備されたクエリを備えた PDO を使用している場合、それは...不可能です。ネイティブ ライブラリにはこれに最も便利なメカニズムは提供されていません。変質するか、データベースのログに侵入するかのどちらかになります。

1. 冗長性の排除 - 「ネイティブ」ライブラリを使用する場合、1 つのリクエストを実行するために 3 行以上のコードを記述するのではなく、1 つだけ記述します。
2. 指定された種類のプレースホルダーに従って、リクエスト本文に送られるすべてのパラメーターを選別します。これにより、SQL インジェクションに対する信頼性の高い保護が行われます。
3. 「ネイティブ」mysqli アダプターの機能を置き換えるのではなく、単にそれを補完します。
4. 拡張可能。実際、このライブラリはパーサーと、SQL インジェクションに対する保護が保証された SQL クエリの実行のみを提供します。任意のライブラリ クラスから継承し、ライブラリ メカニズムとmysqliおよびmysqli_resultメカニズムの両方を使用して、操作する必要があるメソッドを作成できます。

さまざまなデータベース ドライバーのラッパーのほとんどは、不快なアーキテクチャを備えた役に立たないコードの束です。その作成者は、ラッパー自体の実際的な目的を理解していないため、ラッパーを一種のビルダー クエリ (SQL ビルダー)、ActiveRecord ライブラリ、その他の ORM ソリューションに変えています。

krugozor/databaseライブラリは上記のどれでもありません。これは、MySQL DBMS フレームワーク内で通常の SQL を操作するための単なる便利なツールであり、それ以上のものではありません。

プレースホルダー—明示的な値 (クエリ パラメーター) の代わりにSQL クエリ文字列に書き込まれる特別な型指定されたマーカー。そして、値自体は、後続の引数として、SQL クエリを実行する main メソッドに「後で」渡されます。

 $ result = $ db -> query (
    " SELECT * FROM `users` WHERE `name` = '?s' AND `age` = ?i " ,
    " d'Artagnan " , 41
);

プレースホルダーシステムを介して渡された SQL クエリ パラメーターは、プレースホルダーの種類に応じて特別なエスケープ メカニズムによって処理されます。それらの。以前のようにエスケープ関数タイプmysqli_real_escape_string()で変数をラップしたり、変数を数値型にキャストしたりする必要はなくなりました。

 <?php
// Previously, before each request to the DBMS, we did
// something like this (and many people still don't do it):
$ id = ( int ) $ _POST [ ' id ' ];
$ value = mysqli_real_escape_string ( $ mysql , $ _POST [ ' value ' ]);
$ result = mysqli_query ( $ mysql , " SELECT * FROM `t` WHERE `f1` = ' $ value ' AND `f2` = $ id " );

クエリをすばやく簡単に作成できるようになりました。そして最も重要なことは、 krugozor/databaseライブラリが SQL インジェクションの可能性を完全に防止することです。

フィラーの種類とその目的は以下のとおりです。フィラーの種類を理解する前に、ライブラリのメカニズムがどのように機能するかを理解する必要があります。

PHP は型付けが弱い言語であり、このライブラリを開発する際にイデオロギー上のジレンマが発生しました。次の構造を持つテーブルがあると想像してみましょう。

 ` name ` varchar not null
` flag ` tinyint not null

そして、ライブラリは (何らかの理由で、おそらく開発者の制御を超えて) 次のリクエストを実行しなければなりません。

 $ db -> query (
    " INSERT INTO `t` SET `name` = '?s', `flag` = ?i " ,
    null , false
);

この例では、 null値をnot nullテキスト フィールドnameに書き込み、 false boolean 型をflag数値フィールドに書き込もうとします。この状況では何をすべきでしょうか?

• クエリ パラメーターの検証はクライアント コードとライブラリのどちらが担当する必要がありますか?
• この場合、プログラムの実行を中断する必要がありますか、それともデータがデータベースに書き込まれるように何らかの操作を適用する必要があるでしょうか?
• tinyint列のfalse値を値0として扱い、 name列のnull空の文字列として扱うことはできますか?
• コード内でそのような問題を単純化または標準化するにはどうすればよいでしょうか?

提起された質問を考慮して、このライブラリに 2 つの動作モードを実装することが決定されました。

• Mysql::MODE_STRICT - プレースホルダーの型と引数の型の厳密一致モード。 Mysql::MODE_STRICTモードでは、引数の型はプレースホルダーの型と一致する必要があります。たとえば、値55.5または'55.5'を整数プレースホルダ?i引数として渡そうとすると、例外がスローされます。

 // set strict mode
$ db -> setTypeMode (Mysql:: MODE_STRICT );
// this expression will not be executed, an exception will be thrown:
// attempt to specify a value of type "integer" for placeholder of type "double" in query template "SELECT ?i"
$ db -> query ( ' SELECT ?i ' , 55.5 );

• Mysql::MODE_TRANSFORM — プレースホルダーの型と引数の型が一致しない場合の、プレースホルダー型への引数変換モード。 Mysql::MODE_TRANSFORMモードはデフォルトで設定されており、「寛容」モードです。プレースホルダーの型と引数の型が一致しない場合、例外はスローされませんが、 PHP 言語自体。ちなみに、ライブラリの作成者である私は常にこの特定のモードを使用しており、実際の作業では厳密モード ( Mysql::MODE_STRICT ) を使用したことはありませんが、おそらく特に必要になるでしょう。

Mysql::MODE_TRANSFORMでは次の変換が許可されます。

• int型にキャスト (プレースホルダー?i )
  • stringとdouble型の両方で表現される浮動小数点数
  • bool TRUE はint(1)に変換され、FALSE はint(0)に変換されます。
  • nullはint(0)に変換されます
• double型にキャスト (プレースホルダー?d )
  • stringとint型の両方で表される整数
  • bool TRUE はfloat(1)になり、FALSE はfloat(0)になります。
  • nullはfloat(0)に変換されます
• string列型にキャストします (プレースホルダー?s )
  • bool TRUE はstring(1) "1"に変換され、FALSE はstring(1) "0"に変換されます。この動作は、PHP でbool intにキャストするのとは異なります。実際には、多くの場合、ブール型は MySql で数値として書き込まれます。
  • numericはPHPの変換ルールに従って文字列に変換されます。
  • nullはstring(0) ""
• null型にキャストします (プレースホルダー?n )
  • 任意の引数。
• 配列、オブジェクト、およびリソースの場合、変換は許可されません。

 $ db -> query (
    ' SELECT * FROM `users` WHERE `id` = ?i ' , 123
);

テンプレート変換後の SQL クエリ:

 SELECT * FROM ` users ` WHERE ` id ` = 123

注意！ PHP_INT_MAXの制限外の数値を操作する場合は、次のようになります。

• プログラム内の文字列としてのみ操作してください。
• このプレースホルダーは使用せず、文字列プレースホルダー?s使用してください (以下を参照)。重要なのは、制限PHP_INT_MAX超える数値は、PHP が浮動小数点数として解釈するということです。ライブラリ パーサーはパラメーターをint型に変換しようとします。その結果、「 float には正しい結果を返すのに十分な精度がないため、結果は未定義になります。この場合、警告もコメントも表示されません」 ! 」 — php.net。

 $ db -> query (
    ' SELECT * FROM `prices` WHERE `cost` IN (?d, ?d) ' ,
    12.56 , ' 12.33 '
);

テンプレート変換後の SQL クエリ:

 SELECT * FROM ` prices ` WHERE ` cost ` IN ( 12 . 56 , 12 . 33 )

注意！ doubleデータ型を扱うライブラリを使用している場合は、整数部分と小数部分の区切り文字が PHP レベルと DBMS レベルの両方で同じになるように、適切なロケールを設定します。

引数の値はmysqli::real_escape_string()メソッドを使用してエスケープされます。

 $ db -> query (
    ' SELECT "?s" ' ,
    " You are all fools, and I am d'Artagnan! "
);

テンプレート変換後の SQL クエリ:

 SELECT " You are all fools, and I am d'Artagnan! " 

引数の値はmysqli::real_escape_string()メソッド + LIKE 演算子 ( %および_ ) で使用される特殊文字のエスケープを使用してエスケープされます。

 $ db -> query ( ' SELECT "?S" ' , ' % _ ' );

テンプレート変換後の SQL クエリ:

 SELECT " % _ " 

引数の値は無視され、SQL クエリ内のプレースホルダーは文字列NULLに置き換えられます。

 $ db -> query ( ' SELECT ?n ' , 123 );

テンプレート変換後の SQL クエリ:

 SELECT NULL 

ここで、文字*はプレースホルダーの 1 つです。

• i (整数のプレースホルダー)
• d (浮動小数点プレースホルダー)
• s (文字列型のプレースホルダー)

変換とエスケープの規則は、上で説明した単一のスカラー型の規則と同じです。例：

 $ db -> query (
    ' INSERT INTO `test` SET ?Ai ' ,
    [ ' first ' => ' 123 ' , ' second ' => 456 ]
);

テンプレート変換後の SQL クエリ:

 INSERT INTO ` test ` SET ` first ` = " 123 " , ` second ` = " 456 " 

ここで、 *次のタイプの 1 つです。

• i (整数のプレースホルダー)
• d (浮動小数点プレースホルダー)
• s (文字列型のプレースホルダー)

変換とエスケープの規則は、上で説明した単一のスカラー型の規則と同じです。例：

 $ db -> query (
    ' SELECT * FROM `test` WHERE `id` IN (?ai) ' ,
    [ 123 , 456 ]
);

テンプレート変換後の SQL クエリ:

 SELECT * FROM ` test ` WHERE ` id ` IN ( " 123 " , " 456 " )

例：

 $ db -> query (
    ' INSERT INTO `users` SET ?A[?i, "?s"] ' ,
    [ ' age ' => 41 , ' name ' => " d'Artagnan " ]
);

テンプレート変換後の SQL クエリ:

 INSERT INTO ` users ` SET ` age ` = 41 , ` name ` = " d'Artagnan " 

例：

 $ db -> query (
    ' SELECT * FROM `users` WHERE `name` IN (?a["?s", "?s"]) ' ,
    [ ' Daniel O"Neill ' , " d'Artagnan " ]
);

テンプレート変換後の SQL クエリ:

 SELECT * FROM ` users ` WHERE ` name ` IN ( " Daniel O " Neill " , " d ' Artagnan") 

このプレースホルダーは、テーブルまたはフィールドの名前がパラメーターとしてクエリに渡される場合を対象としています。フィールド名とテーブル名はアポストロフィで囲まれます。

 $ db -> query (
    ' SELECT ?f FROM ?f ' ,
    ' name ' ,
    ' database.table_name '
);

テンプレート変換後の SQL クエリ:

 SELECT ` name ` FROM ` database ` . ` table_name `

ライブラリを使用するには、プログラマが SQL 構文に従う必要があります。これは、次のクエリが機能しないことを意味します。

 $ db -> query (
    ' SELECT CONCAT("Hello, ", ?s, "!") ' ,
    ' world '
);

— プレースホルダー?s一重引用符または二重引用符で囲む必要があります。

 $ db -> query (
    ' SELECT concat("Hello, ", "?s", "!") ' ,
    ' world '
);

テンプレート変換後の SQL クエリ:

 SELECT concat( " Hello, " , " world " , " ! " )

PDO の操作に慣れている人にとっては、これは奇妙に思えるかもしれませんが、プレースホルダーの値をある場合に引用符で囲む必要があるかどうかを決定するメカニズムの実装は、パーサー全体を記述する必要がある非常に簡単なタスクです。 。

ファイル ./console/tests.php を参照してください。