значения привязки INSERT INTO mysql perl - PullRequest
Новая
       7

значения привязки INSERT INTO mysql perl

0 голосов
/ 06 марта 2012

Новичок здесь. Просто пытаюсь связать значения, чтобы устранить инъекции SQL. У меня есть код ниже, но я получаю эту ошибку ... вызывается с 1 переменными связывания, когда необходимо 47 в строке my.cgi 803. и вывод выглядит как .. 

$new_row='53616c7465645f5fd8b88f6a16704f8ebc0a2002dfg45633617bbb0446fa', 'test12', 'user', '2012-03-06', 'xcvb', 'xb', 'xcvbb', 'xcvbb', 'UT', 'US', '4566', '4564564566', 'todd@my.com', 'vbn', '', '200', 'Monthly', 'eBook', 'WebStore', '9.95', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', 'http://my.com', 'my.com', '', '', '', '', '', '', '', '', '2012-03-06', '30-Day-Trial'
$questionmarks=?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?

Я пробовал с / без кавычек и запятых. Любые идеи приветствуются. 

foreach my $field (@account_field_order) {
$new_row .= "'" . param($field) . "', ";
$questionmarks .="?, ";
}#foreach
$new_row .= "'$status'";
$questionmarks .= "? ";
my $dsn = "DBI:mysql:$database";
my $dbh = DBI->connect($dsn, $MYSQLuserid, $MYSQLpassword ) 
          or die $DBI::errstr;
my $sth = $dbh->prepare(qq(INSERT INTO $table VALUES ($questionmarks) )) 
or  die $DBI::errstr;
$sth->execute(qq($new_row)) or die $DBI::errstr;

Ответы [ 2 ]

2 голосов
/ 06 марта 2012

Вы должны предоставить список аргументов, по одному на каждый вопросительный знак, а не один скалярный аргумент, содержащий строки аргументов. Когда я ответил на ваш вопрос раньше, я сказал вам сделать: 

my @values = map param($_), @account_field_order; # add values to array
push @values, $status;                  # for simplicity
$new_row = join ", ", ("?") x @values;  # add ? for each value

... # basically same code as before, except the execute statement:

$sth->execute(@values);      # arguments given will be inserted at placeholders

Где $new_row - строка-заполнитель, а не список аргументов. Не 

$new_row .= "'" . param($field) . "', ";
...
$new_row .= "'$status'";
$sth->execute(qq($new_row)) or die $DBI::errstr;

Потому что $new_row считается одним аргументом, поскольку это скаляр. Вам нужен массив или список той же длины, что и количество вопросительных знаков.

0 голосов
/ 06 марта 2012

Во-первых, давайте исправим первые утверждения: 

@new_row=('53616c7465645f5fd8b88f6a16704f8ebc0a2002dfg45633617bbb0446fa', 'test12', 'user', '2012-03-06', 'xcvb', 'xb', 'xcvbb', 'xcvbb', 'UT', 'US', '4566', '4564564566', 'todd@my.com', 'vbn', '', '200', 'Monthly', 'eBook', 'WebStore', '9.95', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', 'http://my.com', 'my.com', '', '', '', '', '', '', '', '', '2012-03-06', '30-Day-Trial');
$questionmarks="?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?";

Это создаст массив значений и одну строку со всеми? S.

Затем в операторе execute: 

$sth->execute(@new_row) or die $DBI::errstr;

, который передаст ваш массив значений в строку выполнения, а не один аргумент, как вы делали раньше.

...