Mehrfach-Anweisungen

    Bei MySQL ist es optional möglich, mehrere Anweisungen in einer Anweisungszeile zu haben, was aber eine besondere Vorgehensweise erfordert.

    Mehrfach-Anweisungen oder Mehrfach-Abfragen müssen mit mysqli::multi_query() ausgeführt werden. Die einzelnen Anweisungen der Anweisungszeile werden durch Semikolon getrennt. Anschließend müssen alle Ergebnismengen, die von den ausgeführten Anweisungen zurückgegeben werden, abgerufen werden.

    Der MySQL-Server erlaubt es, Anweisungen, die Ergebnismengen zurückgeben, und Anweisungen, die keine Ergebnismengen zurückgeben, in einer Mehrfach-Anweisung zu verwenden.

    Beispiel #1 Mehrere Anweisungen

    <?php

    mysqli_report    (MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
    $mysqli = new mysqli("example.com", "user", "password", "database");

    $mysqli->query("DROP TABLE IF EXISTS test");
    $mysqli->query("CREATE TABLE test(id INT)");

    $sql = "SELECT COUNT(*) AS _num FROM test;
    INSERT INTO test(id) VALUES (1);
    SELECT COUNT(*) AS _num FROM test; "    ;

    $mysqli->multi_query($sql);

    do {
    if (    $result = $mysqli->store_result()) {
    var_dump($result->fetch_all(MYSQLI_ASSOC));
    $result->free();
    }
    } while (    $mysqli->next_result());

    Das oben gezeigte Beispiel erzeugt folgende Ausgabe:

     array(1) { [0]=> array(1) { ["_num"]=> string(1) "0" } } array(1) { [0]=> array(1) { ["_num"]=> string(1) "1" } }

    Sicherheitstechnische Überlegungen

    Die API-Funktionen mysqli::query() und mysqli::real_query() setzen kein Verbindungsflag auf dem Server, das für die Aktivierung von Mehrfach-Abfragen benötigt wird. Für Mehrfach-Anweisungen wird ein zusätzlicher API-Aufruf verwendet, um den Schaden von Angriffen mit SQL-Injections zu verringern. Ein Angreifer könnte versuchen, Anweisungen wie ; DROP DATABASE mysql oder ; SELECT SLEEP(999) an das Ende einer Anweisung anzuhängen. Wenn es dem Angreifer gelingt, SQL zur Anweisung hinzuzufügen, aber mysqli::multi_query() nicht verwendet wird, führt der Server die eingeschleuste bösartige SQL-Anweisung nicht aus.

    Beispiel #2 SQL-Injection

    <?php
    mysqli_report    (MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
    $mysqli = new mysqli("example.com", "user", "password", "database");
    $result = $mysqli->query("SELECT 1; DROP TABLE mysql.user");
    ?>

    Das oben gezeigte Beispiel erzeugt folgende Ausgabe:

     PHP Fatal error: Uncaught mysqli_sql_exception: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DROP TABLE mysql.user' at line 1

    Vorbereitete Anweisungen

    Die Verwendung der Mehrfach-Anweisung wird bei vorbereiteten Anweisungen nicht unterstützt.

    Siehe auch

    To Top