Statement on glibc/iconv Vulnerability

    sqlsrv_execute

    (No version information available, might only be in Git)

    sqlsrv_executeВыполняет запрос, подготовленный с помощью sqlsrv_prepare()

    Описание

    sqlsrv_execute(resource $stmt): bool

    Выполняет запрос, подготовленный с помощью sqlsrv_prepare(). Функция идеально подходит для многократного выполнения подготовленного запроса с разными значениями параметров.

    Список параметров

    stmt

    Ресурс оператора, возвращаемый sqlsrv_prepare().

    Возвращаемые значения

    Возвращает true в случае успешного выполнения или false, если возникла ошибка.

    Примеры

    Пример #1 Пример использования sqlsrv_execute()

    В этом примере показано, как подготовить оператор с помощью sqlsrv_prepare() и повторно выполнить его несколько раз (с разными значениями параметров) с помощью sqlsrv_execute().

    <?php
    $serverName     = "serverName\sqlexpress";
    $connectionInfo = array( "Database"=>"dbName", "UID"=>"username", "PWD"=>"password");
    $conn = sqlsrv_connect( $serverName, $connectionInfo);
    if(     $conn === false) {
    die(     print_r( sqlsrv_errors(), true));
    }

    $sql = "UPDATE Table_1
    SET OrderQty = ?
    WHERE SalesOrderID = ?"    ;

    // Инициализация параметров и подготовка запроса.
    // Переменные $qty и $id связаны с оператором $stmt.
    $qty = 0; $id = 0;
    $stmt = sqlsrv_prepare( $conn, $sql, array( &$qty, &$id));
    if( !    $stmt ) {
    die(     print_r( sqlsrv_errors(), true));
    }

    // Настройка информации SalesOrderDetailID и OrderQty.
    // Этот массив сопоставляет идентификатор заказа с количеством заказа в парах ключ => значение.
    $orders = array( 1=>10, 2=>20, 3=>30);

    // Выполнение запроса для каждого заказа.
    foreach( $orders as $id => $qty) {
    // Поскольку $id и $qty привязаны к $stmt1,
    // их обновлённые значения используются при каждом выполнении запроса.
    if( sqlsrv_execute( $stmt ) === false ) {
    die(     print_r( sqlsrv_errors(), true));
    }
    }
    ?>

    Примечания

    Когда вы подготавливаете запрос, который использует переменные в качестве параметров, переменные привязываются к оператору. Это означает, что если вы обновите значения переменных, в следующий раз, когда вы выполните запрос, он будет работать с обновлёнными значениями параметров. Для операторов, которые вы планируете выполнить только один раз, используйте sqlsrv_query().

    Смотрите также

    • sqlsrv_prepare() - Подготавливает запрос к исполнению
    • sqlsrv_query() - Подготавливает и выполняет запрос

    Improve This Page

    Learn How To Improve This PageSubmit a Pull RequestReport a Bug
    add a note

    User Contributed Notes 3 notes

    up
    6
    tuxedobob
    8 years ago
    If you're used to working with sqlsrv_query, you're probably used to the following flow:

    <?php
    $query     = "SELECT * FROM mytable WHERE id=?";
    $result = sqlsrv_query($conn, $query, array($myID));
    $row = sqlsrv_fetch_array($result);
    ?>

    Given that, you might think the following works:

    <?php
    $myID     = 0;
    $query = "SELECT * FROM mytable WHERE id=?";
    $stmt = sqlsrv_prepare($conn, $query, array(&$myID));
    $result = sqlsrv_execute($stmt);
    $row = sqlsrv_fetch_array($result);
    ?>

    It doesn't. The reason is that sqlsrv_execute, as noted above, returns true or false on success or failure, respectively. The variable that has your result is actually $stmt. Change the last row to

    <?php
    $row     = sqlsrv_fetch_array($stmt);
    ?>

    and it works as expected.
    up
    2
    esundberg at nitelusa dot com
    4 years ago
    Working PDO Prepare and Execute Example

    Code
    ----------------------------------------
    print "<h1>PDO Example</h1>";

    print "<h2>PDO Connection</h2>";
    try {
    $pdo = new PDO("sqlsrv:server=$sql_server;Database=$sql_database",$sql_username,$sql_password,['ReturnDatesAsStrings'=>true]);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    } catch(PDOException $e) {
    echo "Connection failed: " . $e->getMessage();
    die("Database Connection Error");

    }

    print "<h2>Check for PDO Connection</h2>";
    if($pdo === false) {
    print "No DB Connection<br>";
    } else {
    print "Good DB Connection<br>";
    }

    print "<h2>PDO Query Example 1 with SQL Injection</h2>";
    print "I Personally prefer pdo due to binding of paramaters by name.<br>";
    $sql = "SELECT username, active FROM users WHERE username = :username";
    print "SQL: $sql\n";
    $stmt = $pdo->prepare($sql);
    $stmt->bindParam(':username', $username);
    $stmt->execute();
    while($r = $stmt->fetch(PDO::FETCH_OBJ)) {
    print_r($r);
    }

    ------------------------------------------------------
    PDO Example
    PDO Connection
    Check for PDO Connection
    Good DB Connection
    PDO Query Example 1 with SQL Injection
    I Personally prefer pdo due to binding of paramaters by name.
    SQL: SELECT username, active FROM users WHERE username = :username
    stdClass Object
    (
    [username] => admin
    [active] => 1
    )
    up
    1
    vavra at 602 dot cz
    6 years ago
    Attention!
    If the sql contains INSERT, UPDATE or DELETE statements, the number of affected rows must be consumed. The sqlsrv_query returns a sql cursor that must be read to finish the transaction, if the result is non false. This same is valid for sqlsrv_execute. In this case the cursor must be also read using the prepared statement handle $smt.

    Another solution is to place SET NOCOUNT ON at the top of the sqlsrv statement and all called procedures, functions and triggers.

    We've practically observed it with sql statement with 500 inserts but only 368 was inserted without false returned. Prefixing by SET NOCOUNT ON or reading a cursor all rows were inserted.

    See Processing Results (ODBC): https://docs.microsoft.com/en-us/sql/relational-databases/native-client-odbc-results/processing-results-odbc Each INSERT, UPDATE, and DELETE statement returns a result set containing only the number of rows affected by the modification. This count is made available when application calls SQLRowCount. ODBC 3.x applications must either call SQLRowCount to retrieve the result set or SQLMoreResults to cancel it. When an application executes a batch or stored procedure containing multiple INSERT, UPDATE, or DELETE statements, the result set from each modification statement must be processed using SQLRowCount or cancelled using SQLMoreResults. These counts can be cancelled by including a SET NOCOUNT ON statement in the batch or stored procedure.
    add a note
    To Top