Consultas SQL fantasma

Echa un vistazo al código PHP:

$user->v_useragent = 'coresky.agent'; 

Dicho código puede provocar una consulta SQL ACTUALIZAR o INSERTAR, o puede no provocar si ya hay datos idénticos instalados en la base de datos, por lo que esta funcionalidad se denomina consultas SQL fantasmas. Una funcionalidad similar suele estar presente en la mayoría de los CRM, pero veamos cómo se puede implementar sin CRM. Las solicitudes fantasmas tienen el potencial de ser ampliamente utilizadas en aplicaciones web, especialmente en términos de configuraciones. Un algoritmo típico (pero no necesario) procede en tres etapas: lectura de datos de la base de datos, cambio de datos, posiblemente varias veces, y generación de consultas SQL reales para actualizar los datos en la base de datos. Vamos a descubrir los detalles ...

En total, debe tener tres métodos, uno para cada etapa. Le daré el código del primer método que desempaqueta completamente los datos leídos de la base de datos, ya que es bastante simple:

 class SKY //    coresky { ... static function &ghost($char, $original, $sql = '', $flag = 0) { SKY::$mem[$char] = [$flag, $flag & 4 ? null : $original, $sql, []]; if ($sql) trace('GHOST SQL: ' . (is_array($sql) ? end($sql) : $sql), false, 1); if ($original) foreach (explode("\n", unl($original)) as $v) { list($k, $v) = explode(' ', $v, 2); SKY::$mem[$char][3][$k] = unescape($v, true); } return SKY::$mem[$char][3]; } 

Parámetros de entrada del método:

• $ char: una letra minúscula del alfabeto inglés, indica el tipo de funcionalidad de las consultas fantasmas, se puede usar en prefijos variables, como en el ejemplo anterior;
• $ original: el contenido textual de la celda de la base de datos (`mediumtext` para MySQL), donde todas las variables de las consultas fantasmas $ char se almacenan a granel. También se puede ingresar una cadena vacía;
• $ sql: una plantilla de consulta que se utilizará para generar una consulta SQL real, por ejemplo, en una función de devolución de llamada para register_shutdown_function ();
• $ flag - la bandera. Más a menudo, se usa el valor predeterminado 0;

Las plantillas de consulta pueden ser de dos tipos, según las funciones sql (..) o sqlf (..). Daré el segundo código por completo, ya que, cuando se usa correctamente, garantiza la imposibilidad de la inyección de SQL, es rápido y bastante simple:

 function sqlf() { # quick parsing, using printf syntax. No SQL injection! $in = func_get_args(); $tpl = array_shift($in); if ($pos = strpos($tpl, '$')) $tpl = preg_replace('/\$_(\w+)/', T_PREFIX . '$1', $tpl); $sql = vsprintf($tpl, array_map(function ($a) { if (!is_array($a)) return is_num($a) ? $a : escape($a); # escape ALL if not numeric return implode(', ', array_map(function ($v) { return is_num($v) ? $v : escape($v); # escape ALL if not numeric }, $a)); }, $in)); return sql(1, $sql); } 

Desafortunadamente, la función sqlf () no es universal en términos de compilación de consultas SQL arbitrarias en términos de protección contra la inyección. Sin embargo, existe en paralelo con la función universal sql (), debido a la relativamente alta velocidad de operación. Las plantillas para sqlf () se usan para el caso de trabajar con una sola celda de texto medio. La segunda plantilla se usa cuando necesita organizar tales consultas pendientes para muchas columnas de la tabla.

¿Cómo es el procesamiento del código PHP especificado al comienzo del artículo?

La variable $ user contiene un puntero a un objeto USER, que a su vez tiene los métodos mágicos __get () y __set (). Por el prefijo v_, la clase entiende que está escribiendo en la tabla de sesión `visitantes` y llama al método SKY :: save (..), que guarda el código en la matriz SKY :: $ mem. Al final del script, se llama a la función de devolución de llamada para register_shutdown_function (), en la que la consulta SQL real en la base de datos se realiza (o no).

Entonces, los otros dos métodos que son necesarios para organizar lo funcional son SKY :: save (..) y SKY :: here (..). El primero almacena los datos en una matriz, y el segundo genera y realiza una consulta real en la base de datos.

El código coresky (marco reutilizable o código CMF) utiliza 8 tipos de SQL fantasma:

• configuración del sistema, que se almacena en la base de datos;
• Configuración de visitante
• configuración de usuarios autorizados;
• configuración del sistema del panel de administración;
• configuración del sistema de lanzamientos de consolas;
• Se utilizan tres tipos de SQL fantasma para organizar la utilidad i18n;

Como puede ver, el "SQL fantasma" es relevante para casi todas las aplicaciones web.

Ventajas de la funcionalidad descrita

• no es necesario hacer ALTER TABLE ... (o INSERTAR nuevas filas) para agregar nuevas variables de configuración a medida que se desarrolla la aplicación. Puede agregar nuevas variables simplemente en código PHP sin cambiar la estructura de la base de datos;
• la funcionalidad puede reducir el número de consultas de la base de datos a una, en el caso de que haya un registro en la misma fila de la misma tabla;

Desventaja

Para las variables SQL fantasmas, no puede "atornillar" índices; lo más probable es que no pueda hacer LOCK TABLE o usar otras características avanzadas de MySQL.

Se puede encontrar más información en el sitio web del proyecto SKY.