Mehrfach-Anweisungen
Bei MySQL ist es optional möglich, mehrere Anweisungen in einer
Anweisungszeile zu haben, was aber eine besondere Vorgehensweise erfordert.
Mehrfach-Anweisungen oder Mehrfach-Abfragen müssen mit
mysqli::multi_query() ausgeführt werden. Die
einzelnen Anweisungen der Anweisungszeile werden durch Semikolon getrennt.
Anschließend müssen alle Ergebnismengen, die von den ausgeführten
Anweisungen zurückgegeben werden, abgerufen werden.
Der MySQL-Server erlaubt es, Anweisungen, die Ergebnismengen zurückgeben,
und Anweisungen, die keine Ergebnismengen zurückgeben, in einer
Mehrfach-Anweisung zu verwenden.
Beispiel #1 Mehrere Anweisungen
<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("example.com", "user", "password", "database");
$mysqli->query("DROP TABLE IF EXISTS test");
$mysqli->query("CREATE TABLE test(id INT)");
$sql = "SELECT COUNT(*) AS _num FROM test;
INSERT INTO test(id) VALUES (1);
SELECT COUNT(*) AS _num FROM test; ";
$mysqli->multi_query($sql);
do {
if ($result = $mysqli->store_result()) {
var_dump($result->fetch_all(MYSQLI_ASSOC));
$result->free();
}
} while ($mysqli->next_result());
Das oben gezeigte Beispiel erzeugt folgende Ausgabe:
array(1) {
[0]=>
array(1) {
["_num"]=>
string(1) "0"
}
}
array(1) {
[0]=>
array(1) {
["_num"]=>
string(1) "1"
}
}
Sicherheitstechnische Überlegungen
Die API-Funktionen mysqli::query() und
mysqli::real_query() setzen kein Verbindungsflag auf
dem Server, das für die Aktivierung von Mehrfach-Abfragen benötigt wird.
Für Mehrfach-Anweisungen wird ein zusätzlicher API-Aufruf verwendet, um den
Schaden von Angriffen mit SQL-Injections zu verringern. Ein Angreifer
könnte versuchen, Anweisungen wie ; DROP DATABASE mysql
oder ; SELECT SLEEP(999)
an das Ende einer Anweisung
anzuhängen. Wenn es dem Angreifer gelingt, SQL zur Anweisung hinzuzufügen,
aber mysqli::multi_query() nicht verwendet wird,
führt der Server die eingeschleuste bösartige SQL-Anweisung nicht aus.
Beispiel #2 SQL-Injection
<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("example.com", "user", "password", "database");
$result = $mysqli->query("SELECT 1; DROP TABLE mysql.user");
?>
Das oben gezeigte Beispiel erzeugt folgende Ausgabe:
PHP Fatal error: Uncaught mysqli_sql_exception: You have an error in your SQL syntax;
check the manual that corresponds to your MySQL server version for the right syntax to
use near 'DROP TABLE mysql.user' at line 1
Vorbereitete Anweisungen
Die Verwendung der Mehrfach-Anweisung wird bei vorbereiteten Anweisungen
nicht unterstützt.
Siehe auch
velthuijsen ¶6 years ago
Suggested improvement(s) to example 1.
reasons:
Multi_query only returns a non false response if a data/result set is returned and only checks for the first query entered. Switching the first SELECT query with the INSERT query will result in a premature exit of the example with the message "Multi query failed: (0)".
The example assumes that once the first query doesn't fail that the other queries have succeeded as well. Or rather it just exits without reporting that one of the queries after the first query failed seeing that if a query fails next_result returns false.
The changes in the example comes after the creation of the string $sql.
<?php
$mysqli = new mysqli("example.com", "user", "password", "database");
if ($mysqli->connect_errno) {
echo "Failed to connect to MySQL: (" . $mysqli->connect_errno . ") " . $mysqli->connect_error;
}
if (!$mysqli->query("DROP TABLE IF EXISTS test") || !$mysqli->query("CREATE TABLE test(id INT)")) {
echo "Table creation failed: (" . $mysqli->errno . ") " . $mysqli->error;
}
$sql = "SELECT COUNT(*) AS _num FROM test; ";
$sql.= "INSERT INTO test(id) VALUES (1); ";
$sql.= "SELECT COUNT(*) AS _num FROM test; ";
$mysqli->multi_query($sql);
do {
if (0 !== $mysqli->errno)
{
echo "Multi query failed: (" . $mysqli->errno . ") " . $mysqli->error;
break;
}
if(false !== ($res = $mysqli->store_result() )
{
var_dump($res->fetch_all(MYSQLI_ASSOC));
$res->free();
}
if (false === ($mysqli->more_results() )
{
break;
}
$mysqli->next_result()
} while (true); ?>
Note that the normal while ($mysqli->more_results() && $mysqli->next_result() has been replaced by two checks and while (true);
This is due to the 'problem' that next_result will return false if the query in question failed.
So one either needs to do one last check after the while loop to check if there was an error or one has to split up the different actions.
The changes in the example do the splitting.