Consultas múltiples

MySQL permite opcionalmente tener múltiples consultas en una sola cadena de consulta pero requiere una gestión especial.

Las consultas múltiples o multiconsultas deben ser ejecutadas con la función mysqli::multi_query(). Las consultas individuales en la cadena de consulta están separadas por un punto y coma. Luego, todos los juegos de resultados devueltos por la ejecución de las consultas deben ser recuperados.

El servidor MySQL permite tener consultas que devuelven juegos de resultados así como consultas que no devuelven ningún juego de resultados en la misma consulta múltiple.

Ejemplo #1 Consultas múltiples

<?php

mysqli_report
(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("example.com", "user", "password", "database");

$mysqli->query("DROP TABLE IF EXISTS test");
$mysqli->query("CREATE TABLE test(id INT)");

$sql = "SELECT COUNT(*) AS _num FROM test;
INSERT INTO test(id) VALUES (1);
SELECT COUNT(*) AS _num FROM test; "
;

$mysqli->multi_query($sql);

do {
if (
$result = $mysqli->store_result()) {
var_dump($result->fetch_all(MYSQLI_ASSOC));
$result->free();
}
} while (
$mysqli->next_result());

El resultado del ejemplo sería:

array(1) {
  [0]=>
  array(1) {
    ["_num"]=>
    string(1) "0"
  }
}
array(1) {
  [0]=>
  array(1) {
    ["_num"]=>
    string(1) "1"
  }
}

Desde un punto de vista de seguridad

Las funciones mysqli::query() y mysqli::real_query() de la API no definen un flag de conexión necesario para la activación de las multiconsultas en el servidor. Una llamada adicional a la API es utilizada para las multiconsultas para reducir la probabilidad de inyección SQL accidental. Un atacante puede intentar agregar consultas como ; DROP DATABASE mysql o ; SELECT SLEEP(999). Si el atacante logra agregar este tipo de SQL en la cadena de consulta pero que mysqli::multi_query() no es utilizado, el servidor solo ejecutará la primera consulta, pero no la segunda que representa la consulta SQL maliciosa.

Ejemplo #2 Inyección SQL

<?php

mysqli_report
(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("example.com", "user", "password", "database");
$result = $mysqli->query("SELECT 1; DROP TABLE mysql.user");

El resultado del ejemplo sería:

PHP Fatal error:  Uncaught mysqli_sql_exception: You have an error in your SQL syntax;
check the manual that corresponds to your MySQL server version for the right syntax to
use near 'DROP TABLE mysql.user' at line 1

Consultas preparadas

El uso de consultas múltiples con consultas preparadas no es soportado.

Ver también