总结
我正在尝试使用准备好的语句来阻止 SQL 注入(inject),但无法找到我需要的支持来保证它正常工作。
场景
我在 Linux 上托管一个站点,该站点连接到带有 FreeTDS 版本 0.91 的 Microsoft SQL Server,特别是使用 FreeTDS 的 dblib。我已将数据库连接的 tds 版本设置为 7.4,并且正在使用 PHP 的 PDO。对象。
根据FreeTDS documentation , 4.2不支持prepared statements:
TDS 4.2 has limitations
- ASCII only, of course.
- RPC is not supported.
- BCP is not supported.
- varchar fields are limited to 255 characters. If your table defines longer fields, they'll be truncated.
- dynamic queries (also called prepared statements) are not supported.
然而,没有任何迹象表明 7.4 不支持准备好的语句,这让我有理由相信它们至少不会引发驱动程序错误。
PHP 的 PDO 通过 PDO::setAttribute() 支持连接特定属性.
我对 PDO::ATTR_ERRMODE 感兴趣,它可以将所有错误设置为异常,而 PDO::ATTR_EMULATE_PREPARES 可以强制数据库在兼容时执行准备好的语句。
问题
测试连接时,我收到以下错误:
Database error: SQLSTATE[IM001]: Driver does not support this function: driver does not support setting attributes
如果无法设置 PDO::ATTR_EMULATE_PREPARES,我无法保证数据库确实按预期执行准备好的语句。
是否可以修改我的方法,或者是否有其他方法来 保证准备好的语句在 Linux 的 MS SQL Server 上安全执行?
最佳答案
解决方案
使用 ODBC而不是 dblib ,它提供了 PDO 的全部功能。
请注意,ODBC 有两种可能的配置:standalone ODBC和 FreeTDS with ODBC driver .根据我的经验,要为连接设置字符集,必须使用 ODBC 驱动程序通过 FreeTDS 完成,这样组合配置更可取。
ODBC 设置
我在网上搜索了许多不同的 StackOverflow 帖子和各种文档资源,了解如何正确安装 ODBC。我从以下三个引用文献中提取了我的解决方案:
FlipperPA对 setting up FreeTDS 的回答(顺便用 ODBC 完成)Benny Hill对此 setup issue with FreeTDS 的回答下面是我用来配置 ODBC 的步骤列表使用 FreeTDS在基于 Debian 的系统上。
TDS 8.0 支持准备好的语句。
注意:不支持 SET NAMES a或 SET CHARSET a在连接上;需要通过设置 FreeTDS 属性使用组合配置来定义字符集。使用独立的 ODBC 驱动程序默认字符集为 ASCII ,这给出了奇怪的结果。看我的other post有关可能问题的示例。
安装需要的包:
sudo apt-get install freetds-bin freetds-common unixodbc tdsodbc php5-odbc
freetds-bin提供 FreeTDS,以及 tsql和 isql (用于后期调试)。freetds-common已经安装在系统上,但不包括这两个调试工具。安装 freetds-bin稍后在定义配置后不会出现问题。unixodbc是ODBC驱动tdsodbc为ODBC提供TDS协议(protocol)php5-odbc是使用 ODBC 驱动程序的 php 模块。请注意,您的 PHP 版本可能与我的不同。配置独立 unixODBC
/etc/odbcinst.ini 中的 ODBC 驱动程序设置:
[odbc]
Description = ODBC driver
Driver = /usr/lib/x86_64-linux-gnu/odbc/libtdsodbc.so
Setup = /usr/lib/x86_64-linux-gnu/odbc/libtdsS.so
UsageCount = 1
在 /etc/odbc.ini 中创建系统范围的数据源名称配置:
[datasourcename]
Driver = odbc
Description = Standalone ODBC
Server = <IP or hostname>
Port = <port>
TDS_Version = 8.0
配置 unixODBC 和 FreeTDS:
/etc/odbcinst.ini 中的 ODBC 驱动程序设置:
[odbc]
Description = ODBC driver
Driver = /usr/lib/x86_64-linux-gnu/odbc/libtdsodbc.so
Setup = /usr/lib/x86_64-linux-gnu/odbc/libtdsS.so
UsageCount = 1
在 /etc/odbc.ini 中创建系统范围的数据源名称配置:
[datasourcename]
Driver = FreeTDS_odbc
Description = Uses FreeTDS configuration settings defined in /etc/freetds/freetds.conf
Servername = datasourcename
TDS_Version = 8.0
在 /etc/freetds/freetds.conf 中将 ODBC 数据源名称配置添加到 FreeTDS :
[datasourcename]
host = <IP or hostname>
port = <port>
client charset = UTF-8
tds version = 8.0
text size = 20971520
encryption = required
IMPORTANT: make sure that the odbc files are readable by the process that will be reading them. If you are running your webserver using a
www-datauser, they must have the proper permissions to read those files!
您现在可以在 freetds.conf 中设置连接字符集并使用 PDO 作为连接到数据库
$pdo = new PDO('odbc:datasourcename');
测试:
使用 tsql检查 FreeTDS 是否已配置并且可以连接到数据库。
tsql -S datasourcename -U username -P password
使用 isql检查 ODBC 是否正确连接。
isql -v datasourcename username password
将 ODBC 与 PHP 链接:
将 ODBC PHP 模块添加到 php.ini通过添加以下内容:
extension = odbc.so
请注意您的 php.ini位置将取决于您使用的网络服务器。
使用 <?php phpinfo(); ?>并通过网络服务器查看它以找到它的位置。
重新启动 Apache
编辑: 添加了有关驱动程序字符集功能的信息,因为我遇到了独立 ODBC 配置问题,它会忽略任何更改连接字符集的尝试。
关于php - MS SQL Server 通过 Linux 上的 PHP 支持非模拟准备语句,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38338596/
尝试通过RVM将RubyGems升级到版本1.8.10并出现此错误:$rvmrubygemslatestRemovingoldRubygemsfiles...Installingrubygems-1.8.10forruby-1.9.2-p180...ERROR:Errorrunning'GEM_PATH="/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/ruby-1.9.2-p180@global:/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/rub
我正在使用puppet为ruby程序提供一组常量。我需要提供一组主机名,我的程序将对其进行迭代。在我之前使用的bash脚本中,我只是将它作为一个puppet变量hosts=>"host1,host2"我将其提供给bash脚本作为HOSTS=显然这对ruby不太适用——我需要它的格式hosts=["host1","host2"]自从phosts和putsmy_array.inspect提供输出["host1","host2"]我希望使用其中之一。不幸的是,我终其一生都无法弄清楚如何让它发挥作用。我尝试了以下各项:我发现某处他们指出我需要在函数调用前放置“function_”……这
是的,我知道最好使用webmock,但我想知道如何在RSpec中模拟此方法:defmethod_to_testurl=URI.parseurireq=Net::HTTP::Post.newurl.pathres=Net::HTTP.start(url.host,url.port)do|http|http.requestreq,foo:1endresend这是RSpec:let(:uri){'http://example.com'}specify'HTTPcall'dohttp=mock:httpNet::HTTP.stub!(:start).and_yieldhttphttp.shou
我正在编写一个gem,我必须在其中fork两个启动两个webrick服务器的进程。我想通过基类的类方法启动这个服务器,因为应该只有这两个服务器在运行,而不是多个。在运行时,我想调用这两个服务器上的一些方法来更改变量。我的问题是,我无法通过基类的类方法访问fork的实例变量。此外,我不能在我的基类中使用线程,因为在幕后我正在使用另一个不是线程安全的库。所以我必须将每个服务器派生到它自己的进程。我用类变量试过了,比如@@server。但是当我试图通过基类访问这个变量时,它是nil。我读到在Ruby中不可能在分支之间共享类变量,对吗?那么,还有其他解决办法吗?我考虑过使用单例,但我不确定这是
我的最终目标是安装当前版本的RubyonRails。我在OSXMountainLion上运行。到目前为止,这是我的过程:已安装的RVM$\curl-Lhttps://get.rvm.io|bash-sstable检查已知(我假设已批准)安装$rvmlistknown我看到当前的稳定版本可用[ruby-]2.0.0[-p247]输入命令安装$rvminstall2.0.0-p247注意:我也试过这些安装命令$rvminstallruby-2.0.0-p247$rvminstallruby=2.0.0-p247我很快就无处可去了。结果:$rvminstall2.0.0-p247Search
我在理解Enumerator.new方法的工作原理时遇到了一些困难。假设文档中的示例:fib=Enumerator.newdo|y|a=b=1loopdoy[1,1,2,3,5,8,13,21,34,55]循环中断条件在哪里,它如何知道循环应该迭代多少次(因为它没有任何明确的中断条件并且看起来像无限循环)? 最佳答案 Enumerator使用Fibers在内部。您的示例等效于:require'fiber'fiber=Fiber.newdoa=b=1loopdoFiber.yieldaa,b=b,a+bendend10.times.m
我想设置一个默认日期,例如实际日期,我该如何设置?还有如何在组合框中设置默认值顺便问一下,date_field_tag和date_field之间有什么区别? 最佳答案 试试这个:将默认日期作为第二个参数传递。youcorrectlysetthedefaultvalueofcomboboxasshowninyourquestion. 关于ruby-on-rails-date_field_tag,如何设置默认日期?[rails上的ruby],我们在StackOverflow上找到一个类似的问
我将我的Rails应用程序部署到OpenShift,它运行良好,但我无法在生产服务器上运行“Rails控制台”。它给了我这个错误。我该如何解决这个问题?我尝试更新rubygems,但它也给出了权限被拒绝的错误,我也无法做到。railsc错误:Warning:You'reusingRubygems1.8.24withSpring.UpgradetoatleastRubygems2.1.0andrun`gempristine--all`forbetterstartupperformance./opt/rh/ruby193/root/usr/share/rubygems/rubygems
我正在尝试从Postgresql表(table1)中获取数据,该表由另一个相关表(property)的字段(table2)过滤。在纯SQL中,我会这样编写查询:SELECT*FROMtable1JOINtable2USING(table2_id)WHEREtable2.propertyLIKE'query%'这工作正常:scope:my_scope,->(query){includes(:table2).where("table2.property":query)}但我真正需要的是使用LIKE运算符进行过滤,而不是严格相等。然而,这是行不通的:scope:my_scope,->(que
几个月前,我读了一篇关于rubygem的博客文章,它可以通过阅读代码本身来确定编程语言。对于我的生活,我不记得博客或gem的名称。谷歌搜索“ruby编程语言猜测”及其变体也无济于事。有人碰巧知道相关gem的名称吗? 最佳答案 是这个吗:http://github.com/chrislo/sourceclassifier/tree/master 关于ruby-寻找通过阅读代码确定编程语言的rubygem?,我们在StackOverflow上找到一个类似的问题: