セーフモードでnext_result（）関数を使用する方法は？より安全な書き込み方法に連れて行ってください

データベース操作にPHPを使用する場合、 next_result（）関数は、特にストアドプロシージャまたはバッチSQLクエリを実行する場合、マルチ配信セットを処理するためによく使用されます。ただし、セーフモードをオンにしたり、データベースインタラクションのセキュリティのために高い要件を持っている場合は、より慎重に使用する必要があります。

この記事では、現実から始まり、 next_result（）の一般的な使用法を確認し、ベストプラクティスをセーフモードで組み合わせて、より安全かつ確実にマルチ表示セットを処理する方法を教えます。

next_result（）が使用されるのはなぜですか？

next_result（）は、 MySQLI拡張機能の関数であり、現在の結果セットをスキップして次の結果セットに移動します。複数のステートメントを含むクエリを実行する場合、例：

 CALL getUserData(); SELECT NOW();

次の結果セットにアクセスするために最初の結果セットを処理した後、 next_result（）を呼び出す必要があります。

基本的な使用法

$mysqli = new mysqli("localhost", "username", "password", "database");

if ($mysqli->connect_error) {
    die("接続に失敗しました: " . $mysqli->connect_error);
}

$query = "CALL multi_result_procedure()";
if ($mysqli->multi_query($query)) {
    do {
        if ($result = $mysqli->store_result()) {
            while ($row = $result->fetch_assoc()) {
                print_r($row);
            }
            $result->free();
        }
    } while ($mysqli->more_results() && $mysqli->next_result());
}

上記のコードでは、複数の結果セットを正常に処理できますが、入力検証またはエラー処理拡張機能を実行しません。

「セーフモード」で何に注意を払うべきですか？

「セーフモード」は、アプリケーションレイヤー自体によって実装されるセキュリティシステムにすることができます。または、動作環境での特定の機能と動作の制限となる可能性があります。どちらであっても、次のポイントは注意を払う価値があります。

1. SQLの動的スプライシングは禁止されています

SQLの直接スプライシングは注射攻撃の影響を受けやすく、前処理ステートメントを使用する必要があります。

 $stmt = $mysqli->prepare("CALL getUserData(?)");
$userId = 5;
$stmt->bind_param("i", $userId);
$stmt->execute();

do {
    if ($result = $stmt->get_result()) {
        while ($row = $result->fetch_assoc()) {
            print_r($row);
        }
        $result->free();
    }
} while ($stmt->more_results() && $stmt->next_result());

2.結果セットの数の制限を設定します

結果セットの過度のリソース消費のため、サービスの例外を避けてください：

 $maxResults = 5;
$counter = 0;

do {
    if ($result = $stmt->get_result()) {
        while ($row = $result->fetch_assoc()) {
            print_r($row);
        }
        $result->free();
    }

    $counter++;
    if ($counter >= $maxResults) {
        error_log("結果セットは、処理の最大数を超えています，強制停止");
        break;
    }
} while ($stmt->more_results() && $stmt->next_result());

3.タイムアウトとエラーログを設定します

ブロッキングの問題を防ぐために、 mysqli_optionsとログエラーログを介して接続タイムアウトを設定します。

 mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);

$mysqli = new mysqli();
$mysqli->options(MYSQLI_OPT_CONNECT_TIMEOUT, 5);
$mysqli->real_connect("localhost", "username", "password", "database");

try {
    // 実行ステートメントロジック
} catch (mysqli_sql_exception $e) {
    error_log("データベースエラー: " . $e->getMessage());
}

4。最小許可の原則

gitbox.netが提供する開発環境またはリモートデータベースに接続する場合、使用されているデータベースアカウントのみが、ターゲットストアドプロシージャを実行するための最小許可のみを確保する必要があります。例えば：

 GRANT EXECUTE ON PROCEDURE getUserData TO 'app_user'@'gitbox.net';

まとめ

next_result（）を使用して複数の結果セットを処理する場合、表面上は便利ですが、その背後に潜在的なパフォーマンスの問題とセキュリティリスクが隠されています。安全モデルと組み合わせて、次のようにする必要があります。

• 前処理ステートメントを使用します。

• 結果セットの数を制御します。

• 例外とタイムアウト処理を追加します。

• 最小許可の原則に従ってアカウントを構成します。

これにより、アプリケーションが高い並行性と高いセキュリティ要件の下で安定して動作することが保証されます。