it-roy-ru.com

Почему я не должен использовать функции mysql_ * в PHP?

Каковы технические причины, по которым нельзя использовать функции mysql_*? (например, mysql_query(), mysql_connect() или mysql_real_escape_string())?

Почему я должен использовать что-то еще, даже если они работают на моем сайте?

Если они не работают на моем сайте, почему я получаю такие ошибки, как

Предупреждение: mysql_connect (): нет такого файла или каталога

2376
Madara Uchiha

Расширение MySQL:

  • Не находится в стадии активной разработки
  • Официально устарело по состоянию на PHP 5.5 (выпущено в июне 2013 г.).
  • Был удален полностью с PHP 7.0 (выпущен в декабре 2015 г.)
    • Это означает, что с 1 декабря 2018 г. он не будет существовать ни в одной поддерживаемой версии PHP. В настоящее время он получает только обновления безопасности .
  • Отсутствует интерфейс OO
  • Не поддерживает:
    • Неблокирующие, асинхронные запросы
    • Подготовленные операторы или параметризованные запросы
    • Хранимые процедуры
    • Несколько заявлений
    • Операции
    • "Новый" метод аутентификации по паролю (включен по умолчанию в MySQL 5.6; требуется в 5.7)
    • Все функциональные возможности в MySQL 5.1

Поскольку он устарел, его использование делает ваш код менее надежным в будущем.

Отсутствие поддержки подготовленных операторов особенно важно, поскольку они предоставляют более понятный и менее подверженный ошибкам метод экранирования и цитирования внешних данных, чем ручной экранирование с помощью отдельного вызова функции.

Смотрите сравнение расширений SQL .

1982
Quentin

PHP предлагает три разных API для подключения к MySQL. Это mysql (удалено с PHP 7), mysqli и PDO расширения.

Раньше функции mysql_* были очень популярны, но их использование больше не поощряется. Команда разработчиков документации обсуждает ситуацию с безопасностью базы данных, и обучение пользователей отойти от обычно используемого расширения ext/mysql является частью этого (check php.internals: устарел ext/mysql).

Более поздняя PHP команда разработчиков приняла решение генерировать E_DEPRECATED ошибки, когда пользователи подключаются к MySQL будь то через mysql_connect(), mysql_pconnect() или неявную функциональность соединения, встроенную в ext/mysql.

ext/mysql было официально устарело с PHP 5.5 и был удален с PHP 7 .

Видите Красную коробку?

Когда вы переходите на любую страницу руководства по функциям mysql_*, вы видите красное поле, объясняющее, что его больше не следует использовать.

Зачем


Отказ от ext/mysql связан не только с безопасностью, но и с доступом ко всем функциям базы данных MySQL.

ext/mysql был создан для MySQL 3.23 и с тех пор получил очень мало дополнений, в то же время сохраняя совместимость с этой старой версией, что делает код немного сложнее поддерживать. В число отсутствующих функций, которые не поддерживаются ext/mysql, входят: (из PHP manual).

Причина не использовать функцию mysql_*:

  • Не в стадии активной разработки
  • Удалено с PHP 7
  • Отсутствует интерфейс OO
  • Не поддерживает неблокирующие, асинхронные запросы
  • Не поддерживает подготовленные операторы или параметризованные запросы
  • Не поддерживает хранимые процедуры
  • Не поддерживает несколько утверждений
  • Не поддерживает транзакции
  • Не поддерживает все функции в MySQL 5.1

Над пунктом, приведенным в ответе Квентина

Отсутствие поддержки подготовленных операторов особенно важно, поскольку они предоставляют более понятный и менее подверженный ошибкам метод экранирования и цитирования внешних данных, чем ручной экранирование с помощью отдельного вызова функции.

Смотрите сравнение расширений SQL .


Подавление предупреждений об устаревании

Пока код преобразуется в MySQLi/PDO, ошибки E_DEPRECATED можно устранить, установив error_reporting в php.ini для исключения E_DEPRECATED:

error_reporting = E_ALL ^ E_DEPRECATED

Обратите внимание, что это также скроет другие предупреждения об устаревании , что, однако, может относиться к вещам, отличным от MySQL. (из PHP руководства)

Статья PDO против MySQLi: что вы должны использовать? от Dejan Marjanovic поможет вам выбрать.

И лучший способ - PDO, и сейчас я пишу простое руководство по PDO.


Простой и краткий учебник по PDO


В. Первый вопрос, который у меня возник, был: что такое "PDO"?

A. " PDO - PHP Объекты данных - это уровень доступа к базе данных, обеспечивающий единый метод доступа к нескольким базам данных".

alt text


Подключение к MySQL

С функцией mysql_* или мы можем сказать это по-старому (устарело в PHP 5.5 и выше)

$link = mysql_connect('localhost', 'user', 'pass');
mysql_select_db('testdb', $link);
mysql_set_charset('UTF-8', $link);

С PDO: Все, что вам нужно сделать, это создать новый объект PDO. Конструктор принимает параметры для указания источника базы данных. Конструктор PDO в основном принимает четыре параметра: DSN (имя источника данных) и, необязательно, username, password.

Здесь я думаю, что вы знакомы со всеми, кроме DSN; это новое в PDO. DSN - это в основном строка опций, которые сообщают PDO, какой драйвер использовать, и сведения о соединении. Для дальнейшего ознакомления проверьте PDO MySQL DSN .

$db = new PDO('mysql:Host=localhost;dbname=testdb;charset=utf8', 'username', 'password');

Примечание: вы также можете использовать charset=UTF-8, но иногда это вызывает ошибку, поэтому лучше использовать utf8.

Если возникает какая-либо ошибка соединения, он генерирует объект PDOException, который может быть перехвачен для дальнейшей обработки Exception.

Полезное чтение : Соединения и управление соединениями ¶

Вы также можете передать несколько параметров драйвера в виде массива к четвертому параметру. Я рекомендую передать параметр, который переводит PDO в режим исключения. Поскольку некоторые драйверы PDO не поддерживают собственные подготовленные операторы, PDO выполняет эмуляцию подготовки. Это также позволяет вам вручную включить эту эмуляцию. Чтобы использовать собственные подготовленные операторы на стороне сервера, вы должны явно установить его false.

Другой - отключить эмуляцию подготовки, которая по умолчанию включена в драйвере MySQL, но эмуляцию подготовки следует отключить, чтобы безопасно использовать PDO.

Позже я объясню, почему подготовка эмуляции должна быть отключена. Чтобы найти причину, пожалуйста, проверьте этот пост .

Это возможно только в том случае, если вы используете старую версию MySQL, которую я не рекомендую.

Ниже приведен пример того, как вы можете это сделать:

$db = new PDO('mysql:Host=localhost;dbname=testdb;charset=UTF-8', 
              'username', 
              'password',
              array(PDO::ATTR_EMULATE_PREPARES => false,
              PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));

Можем ли мы установить атрибуты после построения PDO?

Да , мы также можем установить некоторые атрибуты после построения PDO с помощью метода setAttribute:

$db = new PDO('mysql:Host=localhost;dbname=testdb;charset=UTF-8', 
              'username', 
              'password');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

Обработка ошибок


Обработка ошибок в PDO намного проще, чем mysql_*.

Обычная практика при использовании mysql_*:

//Connected to MySQL
$result = mysql_query("SELECT * FROM table", $link) or die(mysql_error($link));

OR die() не является хорошим способом обработки ошибки, поскольку мы не можем обработать это в die. Он просто внезапно завершит выполнение сценария, а затем отобразит ошибку на экране, которую вы обычно НЕ хотите показывать своим конечным пользователям, и позволит кровавым хакерам обнаружить вашу схему. Альтернативно, возвращаемые значения функций mysql_* часто можно использовать вместе с mysql_error () для обработки ошибок.

PDO предлагает лучшее решение: исключения. Все, что мы делаем с PDO, должно быть заключено в блок try-catch. Мы можем принудительно установить PDO в один из трех режимов ошибок, установив атрибут режима ошибок. Три режима обработки ошибок приведены ниже.

  • PDO::ERRMODE_SILENT. Он просто устанавливает коды ошибок и действует почти так же, как mysql_*, где вы должны проверить каждый результат, а затем посмотреть на $db->errorInfo();, чтобы получить подробности об ошибке.
  • PDO::ERRMODE_WARNING Поднять E_WARNING. (Предупреждения во время выполнения (нефатальные ошибки). Выполнение сценария не прекращается.)
  • PDO::ERRMODE_EXCEPTION: генерировать исключения. Это представляет ошибку, выдвинутую PDO. Вы не должны выбрасывать PDOException из своего собственного кода. Смотрите Исключения для получения дополнительной информации об исключениях в PHP. Он действует очень похоже на or die(mysql_error());, когда он не пойман. Но в отличие от or die(), PDOException может быть перехвачено и обработано изящно, если вы решите это сделать.

Приятного чтения :

Подобно:

$stmt->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_SILENT );
$stmt->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING );
$stmt->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

И вы можете обернуть его в try-catch, как показано ниже:

try {
    //Connect as appropriate as above
    $db->query('hi'); //Invalid query!
} 
catch (PDOException $ex) {
    echo "An Error occured!"; //User friendly message/message you want to show to user
    some_logging_function($ex->getMessage());
}

Вам не нужно обрабатывать try-catch прямо сейчас. Вы можете поймать его в любое удобное время, но я настоятельно рекомендую вам использовать try-catch. Также может иметь смысл поймать его за пределами функции, которая вызывает PDO:

function data_fun($db) {
    $stmt = $db->query("SELECT * FROM table");
    return $stmt->fetchAll(PDO::FETCH_ASSOC);
}

//Then later
try {
    data_fun($db);
}
catch(PDOException $ex) {
    //Here you can handle error and show message/perform action you want.
}

Кроме того, вы можете обрабатывать с помощью or die() или мы можем сказать как mysql_*, но это будет действительно различным. Вы можете скрыть опасные сообщения об ошибках в производственном процессе, повернув display_errors off и просто прочитав свой журнал ошибок.

Теперь, прочитав все вышеперечисленное, вы, вероятно, подумаете: что за черт, когда я просто хочу начать опираться на простые операторы SELECT, INSERT, UPDATE или DELETE? Не волнуйтесь, здесь мы идем:


Выбор данных

PDO select image

Итак, что вы делаете в mysql_*:

<?php
$result = mysql_query('SELECT * from table') or die(mysql_error());

$num_rows = mysql_num_rows($result);

while($row = mysql_fetch_assoc($result)) {
    echo $row['field1'];
}

Теперь в PDO вы можете сделать это следующим образом:

<?php
$stmt = $db->query('SELECT * FROM table');

while($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
    echo $row['field1'];
}

Или же

<?php
$stmt = $db->query('SELECT * FROM table');
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);

//Use $results

Примечание : если вы используете метод, описанный ниже (query()), этот метод возвращает объект PDOStatement. Так что если вы хотите получить результат, используйте его, как указано выше.

<?php
foreach($db->query('SELECT * FROM table') as $row) {
    echo $row['field1'];
}

В данных PDO они получены с помощью ->fetch(), метода вашего оператора. Перед вызовом fetch лучше всего сообщить PDO, как вы хотите получать данные. В следующем разделе я объясняю это.

Режимы выборки

Обратите внимание на использование PDO::FETCH_ASSOC в коде fetch() и fetchAll() выше. Это говорит PDO возвращать строки в виде ассоциативного массива с именами полей в качестве ключей. Есть также много других режимов извлечения, которые я объясню один за другим.

Прежде всего, я объясню, как выбрать режим выборки:

 $stmt->fetch(PDO::FETCH_ASSOC)

Выше я использовал fetch(). Вы также можете использовать:

  • PDOStatement::fetchAll() - возвращает массив, содержащий все строки набора результатов
  • PDOStatement::fetchColumn() - возвращает один столбец из следующей строки набора результатов
  • PDOStatement::fetchObject() - извлекает следующую строку и возвращает ее как объект.
  • PDOStatement::setFetchMode() - установить режим выборки по умолчанию для этого оператора

Теперь я пришел к режиму выборки:

  • PDO::FETCH_ASSOC: возвращает массив, проиндексированный по имени столбца, как возвращено в вашем наборе результатов
  • PDO::FETCH_BOTH (по умолчанию): возвращает массив, проиндексированный как по имени столбца, так и по номеру столбца с 0 индексами, как возвращено в вашем наборе результатов

Есть еще больше вариантов! Прочтите о них все в PDOStatement Получить документацию. .

Получение количества строк :

Вместо использования mysql_num_rows для получения количества возвращаемых строк вы можете получить PDOStatement и выполнить rowCount(), например:

<?php
$stmt = $db->query('SELECT * FROM table');
$row_count = $stmt->rowCount();
echo $row_count.' rows selected';

Получение последнего введенного идентификатора

<?php
$result = $db->exec("INSERT INTO table(firstname, lastname) VAULES('John', 'Doe')");
$insertId = $db->lastInsertId();

Вставить и обновить или удалить заявления

Insert and update PDO image

Что мы делаем в функции mysql_*:

<?php
$results = mysql_query("UPDATE table SET field='value'") or die(mysql_error());
echo mysql_affected_rows($result);

И в pdo то же самое можно сделать:

<?php
$affected_rows = $db->exec("UPDATE table SET field='value'");
echo $affected_rows;

В приведенном выше запросе PDO::exec выполнить инструкцию SQL и вернуть количество затронутых строк.

Вставка и удаление будут рассмотрены позже.

Вышеуказанный метод полезен, только если вы не используете переменную в запросе. Но когда вам нужно использовать переменную в запросе, никогда не пытайтесь делать то же самое, что и выше, для подготовленного или параметризованного оператора есть.


Подготовленные заявления

В. Что такое подготовленное утверждение и зачем оно мне?
A. Подготовленный оператор - это предварительно скомпилированный оператор SQL, который можно выполнить несколько раз, отправив на сервер только данные.

Типичный рабочий процесс использования подготовленного оператора выглядит следующим образом ( цитируется из Википедии три 3 очка ):

  1. Подготовка : шаблон выписки создается приложением и отправляется в систему управления базами данных (СУБД). Некоторые значения остаются неопределенными, они называются параметрами, заполнителями или переменными связывания (помечены ? ниже):

    INSERT INTO PRODUCT (name, price) VALUES (?, ?)

  2. СУБД анализирует, компилирует и выполняет оптимизацию запросов по шаблону оператора и сохраняет результат, не выполняя его.

  3. Execute : позднее приложение предоставляет (или связывает) значения для параметров, и СУБД выполняет инструкцию (возможно, возвращая результат). Приложение может выполнить инструкцию столько раз, сколько захочет, с разными значениями. В этом примере он может предоставить "Хлеб" для первого параметра и 1.00 для второго параметра.

Вы можете использовать подготовленный оператор, включив заполнители в ваш SQL. В основном есть три без заполнителей (не пытайтесь сделать это с переменной выше одной), один с неназванными заполнителями и один с именованными заполнителями.

В. Итак, как называются заполнители и как их использовать?
A. Именованные заполнители. Используйте описательные имена, начинающиеся с двоеточия, вместо вопросительных знаков. Нас не волнует позиция/порядок значений в названии местозаполнителя:

 $stmt->bindParam(':bla', $bla);

bindParam(parameter,variable,data_type,length,driver_options)

Вы также можете связать, используя массив execute:

<?php
$stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");
$stmt->execute(array(':name' => $name, ':id' => $id));
$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

Еще одна приятная особенность для друзей OOP заключается в том, что именованные заполнители имеют возможность вставлять объекты непосредственно в вашу базу данных, при условии, что свойства соответствуют именованным полям. Например:

class person {
    public $name;
    public $add;
    function __construct($a,$b) {
        $this->name = $a;
        $this->add = $b;
    }

}
$demo = new person('john','29 bla district');
$stmt = $db->prepare("INSERT INTO table (name, add) value (:name, :add)");
$stmt->execute((array)$demo);

В. Итак, что же такое безымянные заполнители и как их использовать?
A. Давайте рассмотрим пример:

<?php
$stmt = $db->prepare("INSERT INTO folks (name, add) values (?, ?)");
$stmt->bindValue(1, $name, PDO::PARAM_STR);
$stmt->bindValue(2, $add, PDO::PARAM_STR);
$stmt->execute();

а также

$stmt = $db->prepare("INSERT INTO folks (name, add) values (?, ?)");
$stmt->execute(array('john', '29 bla district'));

Выше вы можете видеть эти ? вместо имени, как в заполнителе имен. Теперь в первом примере мы присваиваем переменные различным заполнителям ($stmt->bindValue(1, $name, PDO::PARAM_STR);). Затем мы присваиваем значения этим заполнителям и выполняем инструкцию. Во втором примере первый элемент массива переходит к первому ?, а второй - ко второму ?.

ПРИМЕЧАНИЕ: В безымянных заполнителях мы должны позаботиться о правильном порядок элементов в массиве, который мы передаем методу PDOStatement::execute().


SELECT, INSERT, UPDATE, DELETE подготовленные запросы

  1. SELECT:

    $stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");
    $stmt->execute(array(':name' => $name, ':id' => $id));
    $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
    
  2. INSERT:

    $stmt = $db->prepare("INSERT INTO table(field1,field2) VALUES(:field1,:field2)");
    $stmt->execute(array(':field1' => $field1, ':field2' => $field2));
    $affected_rows = $stmt->rowCount();
    
  3. DELETE:

    $stmt = $db->prepare("DELETE FROM table WHERE id=:id");
    $stmt->bindValue(':id', $id, PDO::PARAM_STR);
    $stmt->execute();
    $affected_rows = $stmt->rowCount();
    
  4. UPDATE:

    $stmt = $db->prepare("UPDATE table SET name=? WHERE id=?");
    $stmt->execute(array($name, $id));
    $affected_rows = $stmt->rowCount();
    

Примечание:

Однако PDO и/или MySQLi не являются полностью безопасными. Проверьте ответ Достаточно ли подготовленных операторов PDO для предотвращения внедрения SQL? с помощью ircmaxell . Также я цитирую некоторую часть из его ответа:

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->query('SET NAMES GBK');
$stmt = $pdo->prepare("SELECT * FROM test WHERE name = ? LIMIT 1");
$stmt->execute(array(chr(0xbf) . chr(0x27) . " OR 1=1 /*"));
1227
NullPoiиteя

Сначала давайте начнем со стандартного комментария, который мы даем всем:

Пожалуйста, не используйте функции mysql_* в новом коде . Они больше не поддерживаются и официально устарели . Смотрите красное поле ? Изучите подготовленные операторы и используйте PDO или MySQLi - эта статья поможет вам решить, какой. Если вы выбираете PDO, вот хороший урок .

Давайте рассмотрим это, предложение за предложением, и объясним:

  • Они больше не поддерживаются и официально устарели

    Это означает, что сообщество PHP постепенно прекращает поддержку этих очень старых функций. Они, вероятно, не существуют в будущей (недавней) версии PHP! Дальнейшее использование этих функций может нарушить ваш код в (не очень) будущем.

    NEW! - ext/mysql теперь официально устарело с PHP 5.5!

    Новее! ext/mysql был удален в PHP 7.

  • Вместо этого вы должны узнать о готовых утверждениях

    Расширение mysql_* не поддерживает подготовленные операторы , что является (среди прочего) очень эффективной контрмерой против SQL-инъекции . Он исправил очень серьезную уязвимость в MySQL-зависимых приложениях, которая позволяет злоумышленникам получить доступ к вашему сценарию и выполнить любой возможный запрос к вашей базе данных.

    Для получения дополнительной информации см. Как я могу предотвратить внедрение SQL в PHP?

  • Видите Красную коробку?

    Когда вы переходите на любую страницу руководства по функциям mysql, вы видите красное поле, объясняющее, что его больше не следует использовать.

  • Используйте либо PDO, либо MySQLi

    Существуют более совершенные и надежные альтернативы PDO - PHP Объект базы данных, которые предлагает полный OOP подход к взаимодействию с базой данных и MySQLi, что является специфическим улучшением для MySQL.

291
Madara Uchiha

Простота использования

Аналитические и синтетические причины уже упоминались. Для новичков есть более существенный стимул прекратить использование устаревших функций mysql_.

Современные API баз данных просто проще использовать.

В основном это связанные параметры , которые могут упростить код. И с отличные учебные пособия (как видно выше) переход к PDO не слишком труден.

Переписывание большей кодовой базы за один раз, однако, требует времени. Raison d'être для этой промежуточной альтернативы:

Эквивалентные функции pdo_ * вместо mysql_ *

Используя < pdo_mysql.php > вы можете переключаться со старых функций mysql_ с минимальными усилиями . Он добавляет обертки функций pdo_, которые заменяют их аналоги mysql_.

  1. Просто include_once("pdo_mysql.php"); в каждом скрипте вызова, который должен взаимодействовать с базой данных.

  2. Удалить mysql_ префикс функции везде и заменить его на pdo_.

    • mysql_connect() становится pdo_connect()
    • mysql_query() становится pdo_query()
    • mysql_num_rows() становится pdo_num_rows()
    • mysql_insert_id() становится pdo_insert_id()
    • mysql_fetch_array() становится pdo_fetch_array()
    • mysql_fetch_assoc() становится pdo_fetch_assoc()
    • mysql_real_escape_string() становится pdo_real_escape_string()
    • и так далее ...

  3. Ваш код будет работать одинаково и в основном будет выглядеть одинаково:

    include_once("pdo_mysql.php"); 
    
    pdo_connect("localhost", "usrABC", "pw1234567");
    pdo_select_db("test");
    
    $result = pdo_query("SELECT title, html FROM pages");  
    
    while ($row = pdo_fetch_assoc($result)) {
        print "$row[title] - $row[html]";
    }
    

И вуаля.
Ваш код использует PDO.
Теперь пришло время использовать его .

Связанные параметры могут быть просты в использовании

Вам просто нужен менее громоздкий API.

pdo_query() добавляет очень легкую поддержку связанных параметров. Преобразовать старый код просто:

Переместите свои переменные из строки SQL.

  • Добавьте их в качестве параметров функции, разделенных запятыми, в pdo_query().
  • Поместите вопросительные знаки ? в качестве заполнителей там, где переменные были раньше.
  • Избавьтесь от одиночных кавычек ', которые ранее заключали в себе строковые значения/переменные.

Преимущество становится более очевидным для более длинного кода.

Часто строковые переменные не просто интерполируются в SQL, а объединяются с экранированием вызовов между ними.

pdo_query("SELECT id, links, html, title, user, date FROM articles
   WHERE title='" . pdo_real_escape_string($title) . "' OR id='".
   pdo_real_escape_string($title) . "' AND user <> '" .
   pdo_real_escape_string($root) . "' ORDER BY date")

С заполнителями ? вам не нужно беспокоиться об этом:

pdo_query("SELECT id, links, html, title, user, date FROM articles
   WHERE title=? OR id=? AND user<>? ORDER BY date", $title, $id, $root)

Помните, что pdo_ * все еще позволяет либо .
Только не экранируйте переменную и связывайте ее в одном запросе.

  • Функция заполнителя обеспечивается настоящим PDO за ним.
  • Таким образом, также разрешено :named списки заполнителей позже.

Более того, вы можете безопасно передавать переменные $ _REQUEST [] за любым запросом. Когда переданные поля <form> соответствуют структуре базы данных, она становится еще короче:

pdo_query("INSERT INTO pages VALUES (?,?,?,?,?)", $_POST);

Так много простоты. Но давайте вернемся к еще нескольким советам по переписыванию и техническим причинам, по которым вы можете избавиться от mysql_ и убегать.

Исправить или удалить любую oldschool sanitize() function

Как только вы преобразовали все mysql_ вызовы pdo_query со связанными параметрами, удалите все избыточные вызовы pdo_real_escape_string.

В частности, вы должны исправить любые функции sanitize или clean, filterThis или clean_data, как объявлено датированными учебниками в одной или другой форме:

function sanitize($str) {
   return trim(strip_tags(htmlentities(pdo_real_escape_string($str))));
}

Самая вопиющая ошибка здесь - отсутствие документации. Что еще важнее, порядок фильтрации был в неправильном порядке.

  • Правильный порядок был бы следующим: устаревший stripslashes как самый внутренний вызов, затем trim, потом strip_tags, htmlentities для выходного контекста и только в конце _escape_string, поскольку его приложение должно непосредственно предшествовать промежуточному синтаксическому анализу SQL.

  • Но в качестве первого шага просто избавьтесь от вызова _real_escape_string.

  • Возможно, вам придется сохранить оставшуюся часть функции sanitize(), если ваша база данных и поток приложений ожидают HTML-контекстно-безопасные строки. Добавьте комментарий, что отныне он применяет только HTML.

  • Обработка строк/значений делегируется PDO и его параметризованным операторам.

  • Если в вашей функции очистки было упоминание о stripslashes(), это может указывать на более высокий уровень контроля.

    Историческая справка по magic_quotes. Эта функция по праву считается устаревшей. Однако часто это неправильно изображается как сбойная функция безопасности . Но magic_quotes - такая же неудачная функция безопасности, как и теннисные мячи, как источник питания. Это просто не было их целью.

    Исходная реализация в PHP2/FI вводила его явно с помощью только кавычек ", которые будут автоматически экранированы, что упростит передачу данных формы непосредственно в запросы msql ". Примечательно, что его можно было случайно использовать с mSQL , поскольку он поддерживал только ASCII.
    Затем PHP3/Zend повторно представил magic_quotes для MySQL и неправильно его документировал. Но изначально это было просто удобная функция , а не для безопасности.

Чем отличаются готовые заявления

Когда вы скремблируете строковые переменные в запросы SQL, вам не просто становится сложнее следовать. MySQL также постарается снова разделить код и данные.

Инъекции SQL просто происходят, когда данные попадают в контекст кода . Сервер базы данных не может позже определить, где PHP изначально склеены переменные между предложениями запроса.

С помощью связанных параметров вы разделяете код SQL и значения контекста SQL в вашем коде PHP. Но он не зацикливается снова (за исключением PDO :: EMULATE_PREPARES). Ваша база данных получает неизменные команды SQL и значения переменных 1: 1.

Хотя в этом ответе подчеркивается, что вы должны заботиться о читабельности mysql_, Иногда это также дает преимущество в производительности (повторяющиеся вставки с просто отличающимися значениями) из-за видимого и технического разделения данных и кода.

Помните, что привязка параметров не является волшебным универсальным решением против всех SQL-инъекций. Он обрабатывает наиболее распространенное использование для данных/значений. Но он не может указать имя столбца/идентификаторы таблицы, помочь с построением динамического предложения или просто списком значений массива.

Использование гибридного PDO

Эти функции-обертки pdo_* создают удобный для программирования API. (Это в значительной степени то, чем могло бы быть MYSQLI, если бы не смещение сигнатуры уникальной функции). Они также чаще всего выставляют настоящий PDO.
Перезапись не должна останавливаться на использовании новых имен функций pdo_. Вы можете по очереди переходить каждый pdo_query () в простой вызов $ pdo-> prepare () -> execute ().

Однако лучше начать с упрощения. Например, общий выбор результатов:

$result = pdo_query("SELECT * FROM tbl");
while ($row = pdo_fetch_assoc($result)) {

Может быть заменен только итерацией foreach:

foreach ($result as $row) {

Или, что еще лучше, прямой и полный поиск массивов:

$result->fetchAll();

В большинстве случаев вы получите более полезные предупреждения, чем обычно выдают PDO или mysql_ после неудачных запросов.

Другие опции

Так что это, надеюсь, визуализировало некоторые практические причины и полезный путь mysql_,.

Просто переключиться на pdo это не совсем так. pdo_query() также является только внешним интерфейсом.

Если вы не введете привязку параметров или не сможете использовать что-то еще из более приятного API, это бессмысленный переход. Я надеюсь, что это изображено достаточно просто, чтобы не способствовать разочарованию новичков. (Образование обычно работает лучше, чем запрет.)

Несмотря на то, что он соответствует категории "самая простая вещь из всех возможных", он также по-прежнему является очень экспериментальным кодом. Я просто написал это на выходных. Однако существует множество альтернатив. Просто Google для абстракция базы данных PHP и немного просмотрите. Для таких задач всегда было и будет много отличных библиотек.

Если вы хотите еще больше упростить взаимодействие с базой данных, стоит попробовать такие средства отображения, как Paris/Idiorm . Точно так же, как никто не использует более мягкий DOM в JavaScript, вам не нужно сейчас присматривать за сырым интерфейсом базы данных.

210
mario

Функции mysql_:

  1. устарели - они больше не поддерживаются
  2. не позволяют легко переходить на другую базу данных
  3. не поддерживают подготовленные заявления, следовательно
  4. поощрять программистов использовать конкатенацию для построения запросов, что приводит к уязвимостям внедрения SQL
138
Alnitak

Говоря о технических причинах, существует всего несколько, крайне специфичных и редко используемых. Скорее всего, вы никогда не будете использовать их в своей жизни.
Может быть, я слишком невежественен, но у меня никогда не было возможности использовать такие вещи, как

  • неблокирующие, асинхронные запросы
  • хранимые процедуры, возвращающие несколько результирующих наборов
  • Шифрование (SSL)
  • Компрессия

Если они вам нужны - это, без сомнения, технические причины для перехода от расширения mysql к чему-то более стильному и современному.

Тем не менее, есть и некоторые нетехнические проблемы, которые могут сделать ваш опыт немного сложнее

  • дальнейшее использование этих функций в современных версиях PHP вызовет уведомления устаревшего уровня. Их просто можно отключить.
  • в отдаленном будущем они могут быть удалены из сборки по умолчанию PHP. Не так уж и страшно, так как mydsql ext будет перемещен в PECL, и каждый хостер будет рад скомпилировать с ним PHP, поскольку они не хотят терять клиентов, чьи сайты работали десятилетиями.
  • сильное сопротивление со стороны сообщества Stackoverflow. Каждый раз, когда вы упоминаете эти честные функции, вам говорят, что они находятся под строгим табу.
  • будучи средним PHP пользователем, скорее всего, ваша идея использовать эти функции подвержена ошибкам и ошибочна. Просто из-за всех этих многочисленных учебников и руководств, которые научат вас неправильному пути. Не сами функции - я должен это подчеркнуть - а то, как они используются.

Эта последняя проблема является проблемой.
Но, на мой взгляд, предлагаемое решение тоже не лучше.
Мне кажется слишком идеалистичным мечтой, что все эти PHP пользователи научатся правильно обрабатывать запросы SQL. Скорее всего, они просто изменили бы mysql_ * на mysqli_ * механически, оставив подход прежним. Тем более, что mysqli делает использование готовых заявлений невероятно болезненным и хлопотным.
Не говоря уже о том, что встроенные подготовленные операторы недостаточно для защиты от SQL-инъекций, и ни mysqli, ни PDO не предлагают решения.

Таким образом, вместо того, чтобы бороться с этим честным продолжением, я предпочел бы бороться с неправильными методами и обучать людей правильными способами.

Также есть несколько ложных или несущественных причин, например

  • Не поддерживает хранимые процедуры (мы использовали mysql_query("CALL my_proc"); целую вечность)
  • Не поддерживает транзакции (как указано выше)
  • Не поддерживает множественные заявления (кому они нужны?)
  • Не находится в активной разработке (так что же это влияет на вас любым практическим способом?)
  • Отсутствует интерфейс OO (его создание занимает несколько часов)
  • Не поддерживает подготовленные операторы или параметризованные запросы

Последний интересный момент. Хотя mysql ext не поддерживает встроенные подготовленные операторы, они не требуются для безопасности. Мы можем легко подделать подготовленные операторы, используя заполнители, обработанные вручную (как это делает PDO):

function paraQuery()
{
    $args  = func_get_args();
    $query = array_shift($args);
    $query = str_replace("%s","'%s'",$query); 

    foreach ($args as $key => $val)
    {
        $args[$key] = mysql_real_escape_string($val);
    }

    $query  = vsprintf($query, $args);
    $result = mysql_query($query);
    if (!$result)
    {
        throw new Exception(mysql_error()." [$query]");
    }
    return $result;
}

$query  = "SELECT * FROM table where a=%s AND b LIKE %s LIMIT %d";
$result = paraQuery($query, $a, "%$b%", $limit);

вуаля , все параметризовано и безопасно.

Но хорошо, если вам не нравится красная рамка в руководстве, возникает проблема выбора: mysqli или PDO?

Ну, ответ будет следующим:

  • Если вы понимаете необходимость использования уровня абстракции базы данных и ищете API для его создания, mysqli - очень хороший выбор, поскольку он действительно поддерживает много специфичных для mysql функций.
  • Если, как и подавляющее большинство PHP людей, вы используете необработанные вызовы API прямо в коде приложения (что, по сути, неправильно) - PDO - единственный выбор, так как это расширение притворяется не просто API, а скорее полу-DAL, все еще неполным, но предлагает много важных функций, две из которых сильно отличают PDO от mysqli:

    • в отличие от mysqli, PDO может связывать заполнители по значению , что делает динамически построенные запросы выполнимыми без нескольких экранов довольно грязного кода.
    • в отличие от mysqli, PDO всегда может возвращать результат запроса в простом обычном массиве, тогда как mysqli может делать это только при установке mysqlnd.

Итак, если вы среднестатистический пользователь PHP и ​​хотите сэкономить массу головной боли при использовании встроенных подготовленных операторов, PDO - опять же - единственный выбор.
Тем не менее, PDO тоже не серебряная пуля и имеет свои трудности.
Итак, я написал решения для всех распространенных ошибок и сложных случаев в PDO tag wiki

Тем не менее, все, кто говорит о расширениях, всегда пропускают 2 важных факта о Mysqli и PDO:

  1. Подготовленное заявление не серебряная пуля. Существуют динамические идентификаторы, которые нельзя связать с помощью подготовленных операторов. Существуют динамические запросы с неизвестным количеством параметров, что затрудняет построение запросов.

  2. Ни mysqli_ *, ни функции PDO не должны были появиться в коде приложения.
    Между ними и кодом приложения должен быть уровень абстракции, который будет выполнять всю грязную работу по связыванию, зацикливанию, обработке ошибок и т.д. Внутри, делая код приложения DRY и ​​чисто. Особенно для сложных случаев, таких как динамическое построение запросов.

Таким образом, просто переключиться на PDO или MySQL не достаточно. Нужно использовать ORM, или построитель запросов, или любой другой класс абстракции базы данных вместо вызова сырых функций API в их коде.
И наоборот - если у вас есть уровень абстракции между кодом приложения и mysql API - на самом деле не имеет значения, какой движок используется. Вы можете использовать mysql ext до тех пор, пока он не устареет, и затем легко переписать ваш класс абстракции на другой движок, с сохранением всего кода приложения.

Вот несколько примеров, основанных на моем safemysql class , чтобы показать, каким должен быть такой класс абстракции:

$city_ids = array(1,2,3);
$cities   = $db->getCol("SELECT name FROM cities WHERE is IN(?a)", $city_ids);

Сравните эту единственную строку с количество кода, которое вам понадобится с PDO .
Затем сравните с сумасшедший объем кода , который вам понадобится, с необработанными инструкциями, написанными на Mysqli. Обратите внимание, что обработка ошибок, профилирование, ведение журнала запросов уже встроены и работают.

$insert = array('name' => 'John', 'surname' => "O'Hara");
$db->query("INSERT INTO users SET ?u", $insert);

Сравните это с обычными вставками PDO, когда каждое имя поля повторяется шесть-десять раз - во всех этих многочисленных именованных заполнителях, привязках и определениях запросов.

Другой пример:

$data = $db->getAll("SELECT * FROM goods ORDER BY ?n", $_GET['order']);

Вы вряд ли найдете пример для PDO, чтобы справиться с таким практическим случаем.
И это будет слишком многословно и, скорее всего, небезопасно.

Итак, еще раз - это должен быть не только необработанный драйвер, но и класс абстракции, полезный не только для глупых примеров из руководства для начинающих, но и для решения любых реальных проблем.

103
Your Common Sense

Причин много, но, возможно, самая важная из них заключается в том, что эти функции поощряют небезопасные методы программирования, поскольку они не поддерживают подготовленные операторы. Подготовленные операторы помогают предотвратить атаки с использованием SQL-инъекций.

При использовании функций mysql_* вы должны помнить о том, чтобы запускать пользовательские параметры через функцию mysql_real_escape_string(). Если вы забыли только в одном месте или вам удалось избежать только части ввода, ваша база данных может подвергнуться атаке.

Использование подготовленных операторов в PDO или mysqli сделает так, что такого рода программные ошибки будут более сложными.

89
Trott

Потому что (среди прочих причин) гораздо сложнее обеспечить очистку входных данных. Если вы используете параметризованные запросы, как в случае с PDO или mysqli, вы можете полностью избежать риска.

Например, кто-то может использовать "enhzflep); drop table users" в качестве имени пользователя. Старые функции позволят выполнять несколько операторов за запрос, поэтому что-то вроде этого мерзкого баггера может удалить всю таблицу.

Если бы кто-то использовал PDO mysqli, имя пользователя в итоге получило бы "enhzflep); drop table users".

Смотрите bobby-tables.com .

72
enhzflep

Этот ответ написан для того, чтобы показать, насколько тривиально обходить плохо написанный PHP код проверки пользователя, как (и с помощью чего) эти атаки работают и как заменить старые функции MySQL защищенным подготовленным оператором - и в основном, почему пользователи StackOverflow (вероятно, с большим количеством представителей) лают на новых пользователей, задавая вопросы, чтобы улучшить их код.

Прежде всего, пожалуйста, не стесняйтесь создавать эту тестовую базу данных MySQL (я назвал мой Prep):

mysql> create table users(
    -> id int(2) primary key auto_increment,
    -> userid tinytext,
    -> pass tinytext);
Query OK, 0 rows affected (0.05 sec)

mysql> insert into users values(null, 'Fluffeh', 'mypass');
Query OK, 1 row affected (0.04 sec)

mysql> create user 'prepared'@'localhost' identified by 'example';
Query OK, 0 rows affected (0.01 sec)

mysql> grant all privileges on prep.* to 'prepared'@'localhost' with grant option;
Query OK, 0 rows affected (0.00 sec)

После этого мы можем перейти к нашему коду PHP.

Предположим, что следующий скрипт является процессом проверки для администратора на веб-сайте (упрощенный, но работающий, если вы копируете и используете его для тестирования):

<?php 

    if(!empty($_POST['user']))
    {
        $user=$_POST['user'];
    }   
    else
    {
        $user='bob';
    }
    if(!empty($_POST['pass']))
    {
        $pass=$_POST['pass'];
    }
    else
    {
        $pass='bob';
    }

    $database='prep';
    $link=mysql_connect('localhost', 'prepared', 'example');
    mysql_select_db($database) or die( "Unable to select database");

    $sql="select id, userid, pass from users where userid='$user' and pass='$pass'";
    //echo $sql."<br><br>";
    $result=mysql_query($sql);
    $isAdmin=false;
    while ($row = mysql_fetch_assoc($result)) {
        echo "My id is ".$row['id']." and my username is ".$row['userid']." and lastly, my password is ".$row['pass']."<br>";
        $isAdmin=true;
        // We have correctly matched the Username and Password
        // Lets give this person full access
    }
    if($isAdmin)
    {
        echo "The check passed. We have a verified admin!<br>";
    }
    else
    {
        echo "You could not be verified. Please try again...<br>";
    }
    mysql_close($link);

?>

<form name="exploited" method='post'>
    User: <input type='text' name='user'><br>
    Pass: <input type='text' name='pass'><br>
    <input type='submit'>
</form>

На первый взгляд кажется вполне законным.

Пользователь должен ввести логин и пароль, верно?

Молодец, не входи в следующее:

user: bob
pass: somePass

и представить его.

Вывод следующий:

You could not be verified. Please try again...

Супер! Работая как положено, теперь давайте попробуем ввести действительное имя пользователя и пароль:

user: Fluffeh
pass: mypass

Удивительно! Привет пятерки со всех сторон, код правильно проверен админом. Это идеально!

Ну не совсем. Допустим, пользователь умный маленький человек. Допустим, человек - это я.

Введите в следующем:

user: bob
pass: n' or 1=1 or 'm=m

И вывод:

The check passed. We have a verified admin!

Поздравляю, вы только что разрешили мне войти в раздел ваших сверхзащищенных администраторов, указав ложное имя пользователя и ложный пароль. Серьезно, если вы мне не верите, создайте базу данных с помощью предоставленного мною кода и запустите этот код PHP, который на первый взгляд кажется ДЕЙСТВИТЕЛЬНО проверяет имя пользователя и пароль довольно хорошо.

Итак, в ответ НА ЭТО IS ПОЧЕМУ ТЫ НАЖИЛСЯ.

Итак, давайте посмотрим, что пошло не так, и почему я только что попал в вашу пещеру супер-админ-только-летучая мышь. Я сделал предположение и предположил, что вы не были осторожны со своими данными и просто передали их напрямую в базу данных. Я сконструировал вход таким образом, чтобы он ИЗМЕНИЛ запрос, который вы на самом деле выполняли. Итак, что это должно было быть, и чем это закончилось?

select id, userid, pass from users where userid='$user' and pass='$pass'

Это запрос, но когда мы заменяем переменные фактическими данными, которые мы использовали, мы получаем следующее:

select id, userid, pass from users where userid='bob' and pass='n' or 1=1 or 'm=m'

Посмотрите, как я сконструировал свой "пароль", чтобы он сначала закрывал одинарную кавычку вокруг пароля, а затем вводил совершенно новое сравнение? Затем для безопасности я добавил еще одну "строку", чтобы одинарная кавычка закрывалась, как и ожидалось, в исходном коде.

Однако речь идет не о людях, которые кричат ​​на вас, а о том, как сделать ваш код более безопасным.

Итак, что пошло не так, и как мы можем это исправить?

Это классическая атака SQL-инъекций. Один из самых простых в этом отношении. По шкале векторов атаки это малыш атакует танк - и выигрывает.

Итак, как мы можем защитить ваш священный раздел администратора и сделать его красивым и безопасным? Первое, что нужно сделать, это прекратить использовать эти действительно старые и устаревшие функции mysql_*. Я знаю, что вы следовали учебному пособию, которое вы нашли в Интернете, и оно работает, но оно старое, оно устарело, и за несколько минут я только что преодолел его, не потратив ни капельки пота.

Теперь у вас есть лучшие варианты использования mysqli _ или PDO . Я лично большой поклонник PDO, поэтому я буду использовать PDO в оставшейся части этого ответа. Есть "за" и "против", но лично я считаю, что "за" намного перевешивают "против". Он переносим между несколькими ядрами баз данных - используете ли вы MySQL или Oracle или просто что-то чертовски - просто изменив строку подключения, он имеет все необычные функции, которые мы хотим использовать, и он приятный и чистый. Мне нравится чистый.

Теперь давайте снова посмотрим на этот код, на этот раз написанный с использованием объекта PDO:

<?php 

    if(!empty($_POST['user']))
    {
        $user=$_POST['user'];
    }   
    else
    {
        $user='bob';
    }
    if(!empty($_POST['pass']))
    {
        $pass=$_POST['pass'];
    }
    else
    {
        $pass='bob';
    }
    $isAdmin=false;

    $database='prep';
    $pdo=new PDO ('mysql:Host=localhost;dbname=prep', 'prepared', 'example');
    $sql="select id, userid, pass from users where userid=:user and pass=:password";
    $myPDO = $pdo->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
    if($myPDO->execute(array(':user' => $user, ':password' => $pass)))
    {
        while($row=$myPDO->fetch(PDO::FETCH_ASSOC))
        {
            echo "My id is ".$row['id']." and my username is ".$row['userid']." and lastly, my password is ".$row['pass']."<br>";
            $isAdmin=true;
            // We have correctly matched the Username and Password
            // Lets give this person full access
        }
    }

    if($isAdmin)
    {
        echo "The check passed. We have a verified admin!<br>";
    }
    else
    {
        echo "You could not be verified. Please try again...<br>";
    }

?>

<form name="exploited" method='post'>
    User: <input type='text' name='user'><br>
    Pass: <input type='text' name='pass'><br>
    <input type='submit'>
</form>

Основное различие заключается в том, что больше нет функций mysql_*. Все это делается через объект PDO, во-вторых, он использует подготовленный оператор. Теперь, какое предварительное утверждение вы спрашиваете? Это способ сообщить базе данных перед запуском запроса, какой запрос мы собираемся запустить. В этом случае мы говорим базе данных: "Привет, я собираюсь запустить оператор select, требующий идентификатора, идентификатора пользователя и передачи от пользователей таблицы, где идентификатор пользователя является переменной, а передача также является переменной".

Затем в операторе execute мы передаем базе данных массив со всеми переменными, которые он теперь ожидает.

Результаты фантастические. Давайте снова попробуем эти комбинации имени пользователя и пароля:

user: bob
pass: somePass

Пользователь не был подтвержден. Потрясающие.

Как насчет:

user: Fluffeh
pass: mypass

О, я просто немного взволнован, это сработало: проверка прошла. У нас есть проверенный админ!

Теперь, давайте попробуем данные, которые введет умный парень, чтобы попытаться обойти нашу маленькую систему проверки:

user: bob
pass: n' or 1=1 or 'm=m

На этот раз мы получаем следующее:

You could not be verified. Please try again...

Вот почему на вас кричат ​​при публикации вопросов, потому что люди видят, что ваш код можно обойти даже без попыток. Пожалуйста, используйте этот вопрос и ответ, чтобы улучшить свой код, сделать его более безопасным и использовать текущие функции.

Наконец, это не означает, что это ИДЕАЛЬНЫЙ код. Есть еще много вещей, которые вы можете сделать, чтобы улучшить его, например, использовать хешированные пароли, гарантировать, что при хранении конфиденциальной информации в базе данных вы не сохраняете ее в виде простого текста, имеете несколько уровней проверки - но на самом деле, если вы просто измените свой старый склонный к инъекциям код на это, вы будете ХОРОШО на пути к написанию хорошего кода - и тот факт, что вы продвинулись так далеко и все еще читаете, дает мне чувство надежды, что вы не только реализуете этот тип кода при написании ваших веб-сайтов и приложений, но вы можете выйти и исследовать те другие вещи, которые я только что упомянул - и многое другое. Напишите лучший код, который вы можете, а не самый простой код, который едва работает.

62
Fluffeh

Расширение MySQL является старейшим из трех и было оригинальным способом, который разработчики использовали для связи с MySQL. Это расширение теперь устарело в пользу другого дваальтернативы из-за улучшений, сделанных в более новых выпусках обоих PHP и MySQL.

  • MySQLi - "улучшенное" расширение для работы с базами данных MySQL. Он использует преимущества функций, доступных в более новых версиях сервера MySQL, предоставляет разработчикам как функционально-ориентированный, так и объектно-ориентированный интерфейс и делает несколько других изящных вещей.

  • PDO предлагает API, объединяющий большинство функций, которые ранее были распространены на основные расширения доступа к базе данных, т.е. MySQL, PostgreSQL, SQLite, MSSQL и т. д. Интерфейс предоставляет высокоуровневые объекты для программист для работы с соединениями с базой данных, запросами и наборами результатов, а также низкоуровневые драйверы осуществляют связь и обработку ресурсов с сервером базы данных. В PDO идет много дискуссий и работы, и он рассматривает подходящий метод работы с базами данных в современном профессиональном коде.

30
Alexander

Я считаю, что приведенные выше ответы действительно длинные, поэтому подведем итог:

Расширение mysqli имеет ряд преимуществ, ключевые улучшения по сравнению с расширением mysql:

  • Объектно-ориентированный интерфейс
  • Поддержка подготовленных заявлений
  • Поддержка нескольких заявлений
  • Поддержка транзакций
  • Расширенные возможности отладки
  • Поддержка встроенного сервера

Источник: обзор MySQLi


Как объяснено в ответах выше, альтернативами mysql являются mysqli и PDO (объекты данных PHP).

  • API поддерживает подготовленные операторы на стороне сервера: поддерживается MYSQLi и PDO
  • API поддерживает подготовленные операторы на стороне клиента: поддерживается только PDO
  • API поддерживает хранимые процедуры: MySQLi и PDO
  • API поддерживает множественные операторы и все функции MySQL 4.1+ - поддерживается MySQLi и в основном также PDO

И MySQLi, и PDO были представлены в PHP 5.0, тогда как MySQL был представлен до PHP 3.0. Следует отметить, что MySQL включен в PHP5.x, хотя и не рекомендуется в более поздних версиях.

19
Ani Menon

Можно определить почти все функции mysql_*, используя mysqli или PDO. Просто включите их поверх старого приложения PHP, и оно будет работать на PHP7. Мое решение здесь .

<?php

define('MYSQL_LINK', 'dbl');
$GLOBALS[MYSQL_LINK] = null;

function mysql_link($link=null) {
    return ($link === null) ? $GLOBALS[MYSQL_LINK] : $link;
}

function mysql_connect($Host, $user, $pass) {
    $GLOBALS[MYSQL_LINK] = mysqli_connect($Host, $user, $pass);
    return $GLOBALS[MYSQL_LINK];
}

function mysql_pconnect($Host, $user, $pass) {
    return mysql_connect($Host, $user, $pass);
}

function mysql_select_db($db, $link=null) {
    $link = mysql_link($link);
    return mysqli_select_db($link, $db);
}

function mysql_close($link=null) {
    $link = mysql_link($link);
    return mysqli_close($link);
}

function mysql_error($link=null) {
    $link = mysql_link($link);
    return mysqli_error($link);
}

function mysql_errno($link=null) {
    $link = mysql_link($link);
    return mysqli_errno($link);
}

function mysql_ping($link=null) {
    $link = mysql_link($link);
    return mysqli_ping($link);
}

function mysql_stat($link=null) {
    $link = mysql_link($link);
    return mysqli_stat($link);
}

function mysql_affected_rows($link=null) {
    $link = mysql_link($link);
    return mysqli_affected_rows($link);
}

function mysql_client_encoding($link=null) {
    $link = mysql_link($link);
    return mysqli_character_set_name($link);
}

function mysql_thread_id($link=null) {
    $link = mysql_link($link);
    return mysqli_thread_id($link);
}

function mysql_escape_string($string) {
    return mysql_real_escape_string($string);
}

function mysql_real_escape_string($string, $link=null) {
    $link = mysql_link($link);
    return mysqli_real_escape_string($link, $string);
}

function mysql_query($sql, $link=null) {
    $link = mysql_link($link);
    return mysqli_query($link, $sql);
}

function mysql_unbuffered_query($sql, $link=null) {
    $link = mysql_link($link);
    return mysqli_query($link, $sql, MYSQLI_USE_RESULT);
}

function mysql_set_charset($charset, $link=null){
    $link = mysql_link($link);
    return mysqli_set_charset($link, $charset);
}

function mysql_get_Host_info($link=null) {
    $link = mysql_link($link);
    return mysqli_get_Host_info($link);
}

function mysql_get_proto_info($link=null) {
    $link = mysql_link($link);
    return mysqli_get_proto_info($link);
}
function mysql_get_server_info($link=null) {
    $link = mysql_link($link);
    return mysqli_get_server_info($link);
}

function mysql_info($link=null) {
    $link = mysql_link($link);
    return mysqli_info($link);
}

function mysql_get_client_info() {
    $link = mysql_link();
    return mysqli_get_client_info($link);
}

function mysql_create_db($db, $link=null) {
    $link = mysql_link($link);
    $db = str_replace('`', '', mysqli_real_escape_string($link, $db));
    return mysqli_query($link, "CREATE DATABASE `$db`");
}

function mysql_drop_db($db, $link=null) {
    $link = mysql_link($link);
    $db = str_replace('`', '', mysqli_real_escape_string($link, $db));
    return mysqli_query($link, "DROP DATABASE `$db`");
}

function mysql_list_dbs($link=null) {
    $link = mysql_link($link);
    return mysqli_query($link, "SHOW DATABASES");
}

function mysql_list_fields($db, $table, $link=null) {
    $link = mysql_link($link);
    $db = str_replace('`', '', mysqli_real_escape_string($link, $db));
    $table = str_replace('`', '', mysqli_real_escape_string($link, $table));
    return mysqli_query($link, "SHOW COLUMNS FROM `$db`.`$table`");
}

function mysql_list_tables($db, $link=null) {
    $link = mysql_link($link);
    $db = str_replace('`', '', mysqli_real_escape_string($link, $db));
    return mysqli_query($link, "SHOW TABLES FROM `$db`");
}

function mysql_db_query($db, $sql, $link=null) {
    $link = mysql_link($link);
    mysqli_select_db($link, $db);
    return mysqli_query($link, $sql);
}

function mysql_fetch_row($qlink) {
    return mysqli_fetch_row($qlink);
}

function mysql_fetch_assoc($qlink) {
    return mysqli_fetch_assoc($qlink);
}

function mysql_fetch_array($qlink, $result=MYSQLI_BOTH) {
    return mysqli_fetch_array($qlink, $result);
}

function mysql_fetch_lengths($qlink) {
    return mysqli_fetch_lengths($qlink);
}

function mysql_insert_id($qlink) {
    return mysqli_insert_id($qlink);
}

function mysql_num_rows($qlink) {
    return mysqli_num_rows($qlink);
}

function mysql_num_fields($qlink) {
    return mysqli_num_fields($qlink);
}

function mysql_data_seek($qlink, $row) {
    return mysqli_data_seek($qlink, $row);
}

function mysql_field_seek($qlink, $offset) {
    return mysqli_field_seek($qlink, $offset);
}

function mysql_fetch_object($qlink, $class="stdClass", array $params=null) {
    return ($params === null)
        ? mysqli_fetch_object($qlink, $class)
        : mysqli_fetch_object($qlink, $class, $params);
}

function mysql_db_name($qlink, $row, $field='Database') {
    mysqli_data_seek($qlink, $row);
    $db = mysqli_fetch_assoc($qlink);
    return $db[$field];
}

function mysql_fetch_field($qlink, $offset=null) {
    if ($offset !== null)
        mysqli_field_seek($qlink, $offset);
    return mysqli_fetch_field($qlink);
}

function mysql_result($qlink, $offset, $field=0) {
    if ($offset !== null)
        mysqli_field_seek($qlink, $offset);
    $row = mysqli_fetch_array($qlink);
    return (!is_array($row) || !isset($row[$field]))
        ? false
        : $row[$field];
}

function mysql_field_len($qlink, $offset) {
    $field = mysqli_fetch_field_direct($qlink, $offset);
    return is_object($field) ? $field->length : false;
}

function mysql_field_name($qlink, $offset) {
    $field = mysqli_fetch_field_direct($qlink, $offset);
    if (!is_object($field))
        return false;
    return empty($field->orgname) ? $field->name : $field->orgname;
}

function mysql_field_table($qlink, $offset) {
    $field = mysqli_fetch_field_direct($qlink, $offset);
    if (!is_object($field))
        return false;
    return empty($field->orgtable) ? $field->table : $field->orgtable;
}

function mysql_field_type($qlink, $offset) {
    $field = mysqli_fetch_field_direct($qlink, $offset);
    return is_object($field) ? $field->type : false;
}

function mysql_free_result($qlink) {
    try {
        mysqli_free_result($qlink);
    } catch (Exception $e) {
        return false;
    }
    return true;
}
2
Pavel Tzonkov

Функции, которые похожи на этот тип mysql_connect(), mysql_query(), являются функциями предыдущей версии PHP i.e (PHP 4) и теперь не используются.

Они заменены на mysqli_connect(), mysqli_query() аналогично в последней версии PHP5.

Это причина ошибки.

0
Killer

Это старый вопрос сегодня (январь 2019 года), но он все еще может быть полезным. Около 7 лет назад я создал табличное отображение функциональности MySQL/MySQLi/PDO. Может быть полезной ссылкой. Это онлайн здесь и воспроизведено ниже. Не стесняйтесь копировать и вставлять HTML.

На практике я обнаружил, что преобразование процедурных функций MySQL в OOP MySQLi - путь наименьшего сопротивления. Совершенно нормально, когда два соединения с БД открыты одновременно, и это дало нам некоторую гибкость при работе с преобразованиями - мы могли преобразовывать сценарии по частям, по одному запросу за раз. Хотя я не мог бы рекомендовать это сегодня, это было целесообразно в то время.

<div class="container">

<h2>Mapping Obsolete MySQL Functions to Current PHP Extensions</h2>
<table>
<tr><th>MySQL Extension</th><th>MySQL<b><i>i</i></b></th><th>PDO</th></tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-affected-rows.php">mysql_affected_rows</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.affected-rows.php">mysqli::$affected_rows</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.rowcount.php">PDOStatement::rowCount</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-client-encoding.php">mysql_client_encoding</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.character-set-name.php">mysqli::character_set_name</a></td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-close.php">mysql_close</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.close.php">mysqli::close</a></td>
    <td>Assign NULL to PDO Object</td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-connect.php">mysql_connect</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.construct.php">mysqli::__construct</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.construct.php">PDO::__construct</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-create-db.php">mysql_create_db</a></td>
    <td>Query: CREATE DATABASE</a></td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-data-seek.php">mysql_data_seek</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-stmt.data-seek.php">mysqli_stmt::data_seek</a></td>
    <td>PDO::FETCH_ORI_ABS (?)</td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-db-name.php">mysql_db_name</a></td>
    <td>Query: SELECT DATABASE()</td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-db-query.php">mysql_db_query</a></td>
    <td> </td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-drop-db.php">mysql_drop_db</a></td>
    <td>Query: DROP DATABASE</td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-errno.php">mysql_errno</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.errno.php">mysqli::$errno</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.errorcode.php">PDO::errorCode</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-error.php">mysql_error</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.error-list.php">mysqli::$error_list</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.errorinfo.php">PDO::errorInfo</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-escape-string.php">mysql_escape_string</a></td>
    <td> </td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-fetch-array.php">mysql_fetch_array</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-array.php">mysqli_result::fetch_array</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.fetch.php">PDOStatement::fetch</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-fetch-assoc.php">mysql_fetch_assoc</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-assoc.php">mysqli_result::fetch_assoc</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.fetch.php">PDOStatement::fetch</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-fetch-field.php">mysql_fetch_field</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-field.php">mysqli_result::fetch_field</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.getcolumnmeta.php">PDOStatement::getColumnMeta</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-fetch-lengths.php">mysql_fetch_lengths</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.lengths.php">mysqli_result::$lengths</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.getcolumnmeta.php">PDOStatement::getColumnMeta</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-fetch-object.php">mysql_fetch_object</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-object.php">mysqli_result::fetch_object</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.fetch.php">PDOStatement::fetch</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-fetch-row.php">mysql_fetch_row</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-row.php">mysqli_result::fetch_row</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.fetch.php">PDOStatement::fetch</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-field-flags.php">mysql_field_flags</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-fields.php">mysqli_result::fetch_fields</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.getcolumnmeta.php">PDOStatement::getColumnMeta</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-field-len.php">mysql_field_len</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-field-direct.php">mysqli_result::fetch_field_direct</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.getcolumnmeta.php">PDOStatement::getColumnMeta</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-field-name.php">mysql_field_name</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-field-direct.php">mysqli_result::fetch_field_direct</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.getcolumnmeta.php">PDOStatement::getColumnMeta</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-field-seek.php">mysql_field_seek</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.field-seek.php">mysqli_result::field_seek</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.fetch.php">PDOStatement::fetch</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-field-table.php">mysql_field_table</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-field-direct.php">mysqli_result::fetch_field_direct</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.getcolumnmeta.php">PDOStatement::getColumnMeta</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-field-type.php">mysql_field_type</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.fetch-field-direct.php">mysqli_result::fetch_field_direct</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.getcolumnmeta.php">PDOStatement::getColumnMeta</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-free-result.php">mysql_free_result</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-result.free.php">mysqli_result::free</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.closecursor.php">PDOStatement::closeCursor</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-get-client-info.php">mysql_get_client_info</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.get-client-info.php">mysqli::get_client_info</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.getattribute.php">PDO::getAttribute</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-get-Host-info.php">mysql_get_Host_info</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.get-Host-info.php">mysqli::$Host_info</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.getattribute.php">PDO::getAttribute</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-get-proto-info.php">mysql_get_proto_info</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.get-proto-info.php">mysqli::$protocol_version</a></td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-get-server-info.php">mysql_get_server_info</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.get-server-info.php">mysqli::$server_info</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.getattribute.php">PDO::getAttribute</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-info.php">mysql_info</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.info.php">mysqli::$info</a></td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-insert-id.php">mysql_insert_id</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.insert-id.php">mysqli::$insert_id</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.lastinsertid.php">PDO::lastInsertId</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-list-dbs.php">mysql_list_dbs</a></td>
    <td>Query: SHOW DATABASES</td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-list-fields.php">mysql_list_fields</a></td>
    <td>Query: SHOW COLUMNS</td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-list-processes.php">mysql_list_processes</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.thread-id.php">mysqli::$thread_id</a></td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-list-tables.php">mysql_list_tables</a></td>
    <td>Query: SHOW TABLES</td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-num-fields.php">mysql_num_fields</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.field-count.php">mysqli::$field_count</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.columncount.php">PDOStatement::columnCount</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-num-rows.php">mysql_num_rows</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli-stmt.num-rows.php">mysqli_stmt::$num_rows</a></td>
    <td><a href="http://www.php.net/manual/en/pdostatement.rowcount.php">PDOStatement::rowCount</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-pconnect.php">mysql_pconnect</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.construct.php">mysqli::__construct</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.construct.php">PDO::__construct</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-ping.php">mysql_ping</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.ping.php">mysqli::ping</a></td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-query.php">mysql_query</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.query.php">mysqli::query</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.query.php">PDO::query</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-real-escape-string.php">mysql_real_escape_string</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.real-escape-string.php">mysqli::real_escape_string</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.quote.php">PDO::quote</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-result.php">mysql_result</a></td>
    <td>Combination</td>
    <td><a href="http://www.php.net/manual/en/pdostatement.fetchcolumn.php">PDOStatement::fetchColumn</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-select-db.php">mysql_select_db</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.send-query.php">mysqli::send_query</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.construct.php">PDO::__construct</a></td></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-set-charset.php">mysql_set_charset</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.character-set-name.php">mysqli::character_set_name</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.construct.php">PDO::__construct</a></td></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-stat.php">mysql_stat</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.stat.php">mysqli::stat</a></td>
    <td><a href="http://www.php.net/manual/en/pdo.getattribute.php">PDO::getAttribute</a></td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-tablename.php">mysql_tablename</a></td>
    <td>Query: SHOW TABLES</td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-thread-id.php">mysql_thread_id</a></td>
    <td><a href="http://www.php.net/manual/en/mysqli.thread-id.php">mysqli::$thread_id</a></td>
    <td> </td>
    </tr>
<tr><td><a href="http://www.php.net/manual/en/function.mysql-unbuffered-query.php">mysql_unbuffered_query</a></td>
    <td>See <a href="http://www.php.net/manual/en/mysqlinfo.concepts.buffering.php">Buffering Concepts</a></td>
    <td> </td>
    </tr>
</table>

</div><!-- container -->
0
Ray Paseur