27

如何将这些多个查询合并为一个(可以吗?)

$query = "DELETE FROM aktywne_kody WHERE kodsms ='$kodSMSgracza' AND typkodu ='$id'";
mysql_query($query) or die(mysql_error());

$query = "INSERT INTO uzyte_kody (gracz, kodsms, typkodu) VALUES ('$nickGracza', '$kodSMSgracza', '$id')";
mysql_query($query) or die("Błąd MySQL X04");

$query = "INSERT INTO do_odebrania (gracz, itemDATA, itemQTY) VALUES ('$nickGracza', '$itemDATA', '$itemQTY')";
mysql_query($query) or die("Błąd MySQL X05");

顺便说一句,如果我在完成所有查询后执行 mysql_close($db) 会更好吗?

4

4 回答 4

33

作为第 5 个参数传递65536给。mysql_connect

例子:

$conn = mysql_connect('localhost','username','password', true, 65536 /* here! */) 
    or die("cannot connect");
mysql_select_db('database_name') or die("cannot use database");
mysql_query("
    INSERT INTO table1 (field1,field2) VALUES(1,2);

    INSERT INTO table2 (field3,field4,field5) VALUES(3,4,5);

    DELETE FROM table3 WHERE field6 = 6;

    UPDATE table4 SET field7 = 7 WHERE field8 = 8;

    INSERT INTO table5
       SELECT t6.field11, t6.field12, t7.field13
       FROM table6 t6
       INNER JOIN table7 t7 ON t7.field9 = t6.field10;

    -- etc
");

当您使用 mysql_fetch_* 或 mysql_num_rows 或 mysql_affected_rows 时,只有第一个语句有效。

比如下面的代码,第一条语句是INSERT,不能执行mysql_num_rows和mysql_fetch_*。可以使用 mysql_affected_rows 返回插入的行数。

$conn = mysql_connect('localhost','username','password', true, 65536) or die("cannot connect");
mysql_select_db('database_name') or die("cannot use database");
mysql_query("
    INSERT INTO table1 (field1,field2) VALUES(1,2);
    SELECT * FROM table2;
");

再比如,下面的代码,第一条语句是SELECT,不能执行mysql_affected_rows。但是您可以执行 mysql_fetch_assoc 来获取第一个 SELECT 语句产生的行的键值对,或者您可以执行 mysql_num_rows 来获取基于第一个 SELECT 语句的行数。

$conn = mysql_connect('localhost','username','password', true, 65536) or die("cannot connect");
mysql_select_db('database_name') or die("cannot use database");
mysql_query("
    SELECT * FROM table2;
    INSERT INTO table1 (field1,field2) VALUES(1,2);
");
于 2012-12-21T00:34:21.917 回答
5

这可能是创建 sql 注入点“SQL Injection Piggy-backed Queries”。攻击者能够附加多个恶意 sql 语句。所以不要将用户输入直接附加到查询中。

安全注意事项

API 函数 mysqli_query() 和 mysqli_real_query() 没有设置激活服务器中的多查询所需的连接标志。对多个语句使用额外的 API 调用,以减少意外 SQL 注入攻击的可能性。攻击者可能会尝试添加语句,例如;删除数据库 mysql 或 ; 选择睡眠 (999)。如果攻击者成功在语句字符串中添加 SQL 但未使用 mysqli_multi_query,则服务器不会执行第二条注入的恶意 SQL 语句。

PHP文档

于 2016-01-06T05:18:53.783 回答
1

mysqli您可以使用多个语句来真正使用mysqli_multi_query().

阅读 PHP 文档中有关多个语句的更多信息

于 2014-04-08T08:59:54.637 回答
0

您可以只添加单词 JOIN 或添加一个 ; 在每一行之后(如@pictchubbate 所说)。由于可读性,这种方式更好,而且你不应该用 INSERT 干预 DELETE;去南方很容易。

最后一个问题是一个有争议的问题,但据我所知,是的,您应该在一组查询后关闭。这主要适用于旧的普通 mysql/php 而不是 PDO、mysqli。在这些情况下,事情变得更加复杂(并且在辩论中变得激烈)。

最后,我建议使用 PDO 或其他方法。

于 2012-12-20T21:43:20.737 回答