Pdo unquote – PHP – Fórum – Programujte.com

Je nejaka inverzi funkce v pdo pro quote?
Potreboval bych procekovat dotaz, jestli tam nejsou parazitni znaky. mam treba import soubor, tabulku firem
'1','1','Firma A'
'2','1','Firma B'
Samozrejme uplne idealni je ted to explodovat(','), kazdou polozku ceknout zpusobem
$pol == quote(unquote($pol))
Tim se zaruci, ze tam nebude parazitni znak nebo funkce (treba exec->base64decode('zakodovane DROP tabulka')), Aspon mi to prijde na pohled bezpecne. Mate jiny nazor? Proc jinak a ne takto?

V manualu je zas velke kulove. Jako u vsech tech novych class, co vymysleli :)
http://php.net/…do.quote.php

See Also

PDO::prepare()
PDOStatement::execute()

Jo, tohle see also mi tak pomohlo... (ironie)

#1 peter
unquote() sice není, ale můžeš zkusit fgetcsv() nebo str_getcsv()

:)
Tvuj problem je mozna v tom, ze sis nikdy nenechal vypsat string po zaquotovani. Tam bys zjistil, ze to dela uplne neco jineho nez prevod do csv. Nejvic tomu asi odpovida php quote. nechtelo se mi psat ten reg. vyraz, tak jsem doufal, ze existuje zpetna (reverzni funkce). Ale kdyz ji neznas ani ty, tak se obavam, ze to bude znamenat dalsi vyrazne minusko na stranu pdo, kdykoliv nekdo prohlasi, jak je skvele a uzasne proti mysql :)

Takhle, abys mne nepochopil spatne. csv netransformuje zalomeni radku, kdezto to quote z toho dela \n a tez slashuje vsechny apostrofy bez rozdilu. A mozna nejake dalsi veci. Jdu se pokusit najit k tomu nejakou dokumentaci.

#3 peter
Můj problém je v tom, že jsem metodu quote() nikdy nepoužil, neboť ji považuji za zbytečnou...

Dobre. A jak kontrolujes sql dotaz proti parazitnim udajum? Mam txt soubor casti sql dotazu INSERT INTO
'1','1','Firma A'
'2','1','Firma B'
A ted, jak to mam zkontrolovat, zda tam neni preruseni uvozovkou, ktere nekdo dopsal? Podle meho, nejjednodussi cesta je ta, co jsem napsal, proste to zkusim unquotovat a zaquotovat a jestli se to shoduje.
 

Ten soubor vygeneroval program, ktery to quotoval. Tam neni problem, ten to vyrobi ok. Ale, kdyz si to uzivatel uploadne, tak si tam muze pridat editeci parazitni kod. Coz je nezadouci.

prepsanim na csv nic neresis. take musis zkontrolovat proti parazitnimu kodu.

#6 peter
Nekontroluji. Používám metody prepare() a execute().

#7 peter
SQL se pro předávání dat nehodí. Použij jiný formát, třeba XML.

Zvazim jeste to csv. Tam bych se nemusel drbat s parsovanim. Xml zavrhuji jako neusporny format.
Rozhodne se mi nechce spolehat na vlastni unquote, kdyz quote neni radne zdokumentovane :)
Chtel jsem, aby to bylo co nejjednodussi. Nacist soubor. Nejak to checknout a hned sql dotaz pro import do db.

#11 peter
Pro jednoduchou strukturu se CSV dá použít velmi dobře a PHP je na to i dobře vybaveno. Navíc je proti SQL úspornější a bezpečnější. Co kdyby ti do něj někdo vpašoval DROP DATABASE?

PHP má i funkci fputcsv(). Sama quotuje dle potřeby.

XML je dobré na strukturovaná data a na komunikaci vzájemně cizích aplikací.

CSV ma jeden zasadni problem. ma put/get  do souboru, ale opet schazi implementace put/get string :) Coz je naprosto zasadni, pac ja to chci zipovat. Takze, opet si napsat vlastni funkci pro konverzi na csv a doufat, ze to nezvrtam :) (nekde bych ji mel snad mit, minule jsem to uz googloval)

#13 peter
A to je takový problém si otevřít stdin/stdout?

str_getcsv() ti nepomůže?

function csvRead($csv_data,$callback,$table,$where)
{
$rows = str_getcsv($csv_data, "\n");
array_shift($rows);	// odstran hlavicku	// unset($rows[0]);	
array_pop($rows);	// odstran prazdny radek na konci
foreach($rows as $row)
	{
	$callback(str_getcsv($row,";"),$table,$where);
	}
}

function csvWrite( array  &$fields, $delimiter = ';', $enclosure = '"', $encloseAll = false )
{
$delimiter_esc = preg_quote($delimiter, '/');
$enclosure_esc = preg_quote($enclosure, '/');
$output = array();
foreach ( $fields as $field )
	{
        if ( $encloseAll || preg_match( "/(?:${delimiter_esc}|${enclosure_esc}|\s)/", $field ) )
		{
		$output[] = $enclosure . str_replace($enclosure, $enclosure . $enclosure, $field) . $enclosure;
		}
	else	{
		$output[] = $field;
		}
	}
return implode( $delimiter, $output );
}
// mazal jsem komenty, snad je to cele

#15 peter
Proč máš $csv_data ve strigu? Zbytečně se to tím komplikuje.

Odstraňovat první a poslední řádek bez kontroly mi připadá jako velmi nebezpečné.

Jak uz jsem rikal, zalohu db hned zipuji. Neukladam si mezi-soubory. 

function backupToFile($path,$tables,$id)
{
$date = date("Ymd-H_i_s",time());
$filename = 'zaldb'.$id.'_'.$date.'.zip';
$to = $path.$filename;
$zip  = new ZipArchive;
if ($zip->open($to, ZipArchive::CREATE) === true)
	{
//	$zip->addFromString('info.txt', implode(', ',$tables));
	foreach($tables as $table)
		{
		$zip->addFromString($table.'.txt', backupTbl($table));
		}
	$zip->close();
	chmod ($to, 0777);
	return true;
	}
return false;
}

Ha, problem, mi to rozseka podle \n, ale ignoruje to apostrofy. Chapu, ze ta funkce k tomu nebyla urcena, ale. takze jine reseni najit :)

$rows = str_getcsv($csv_data, "\n");

S tim zipem, jakoze, kdyz to ctu, tak mi vrati string. Podobne, kdyz to zapisuji. Nechci mezisoubory.

Takze csv take neni reseni problemu :) Neumi konvertovat string na array a zpet.
Takove programovani mne tezce nebavi, kdyz maji rozdelane funkce a nedokonci je. Ted, abych vymyslel fintu, jak to osidit, treba nahradit nove radky necim jinym. Coz nesmirne zbrzdi cely script. Nebo nejak carovat se souborem jako se stringem. Nebo ukladat mezisoubory, coz je uplne nejhorsi varianta.

Pripadne si budu muset napsat vlastni parser pro csv. To mozna bylo lepcejsi resit to unquote :)

#21 peter
Jestli jsem to správně pochopil, tak řešíš zálohování a obnovu databáze. Proč nepoužiješ mysqladmin?

Aby si to mohl kazdy zakaznik delat sam.

#23 peter
A to je takový problém spustit mysqladmin z PHP?

mnooo, je :) Nevim, zaatim jsem nic takoveho nedelal. Zakaznici nemaji ftp ucet, aby se mohli samostatne logovat, ani sql ucet.

Resim to ted pres soubor s pameti. Nevim, jak moc je to schudne vuci verzim php, vlastnik domeny tam ma nejake stare phpko. A jake velikosti mi dovoli nez zarve hlasky s pameti. Cteni zatim vypada ok.

$size_file = 5 * 1024 * 1024;
$size_row  = 30 * 1024;
$del = ';';
$fp = fopen("php://temp/maxmemory:$size_file", 'r+');    // memory_

...

function csvWrite($fp, $row, $del=';')
{
fputcsv($fp, $row, $del);
}

function csvRead($fp, $size=1000, $del=';')
{
return fgetcsv($fp, $size, $del);
}