TYPO3 - Datenbankabfragen in Extensions: Unterschied zwischen den Versionen
| Zeile 314: | Zeile 314: | ||
| − | == Weitere Snippets == | + | == Weitere Snippets und nützliche Funktionen == |
Kleines Sammelsurium | Kleines Sammelsurium | ||
($GLOBALS['TYPO3_DB']->debug_lastBuiltQuery,"Last SQL"); | ($GLOBALS['TYPO3_DB']->debug_lastBuiltQuery,"Last SQL"); | ||
| + | |||
| + | === searchWhere === | ||
| + | Beispiel | ||
| + | $where .= $this->cObj->searchWhere($this->piVars['searchText'],'title,description,text1,text2,text3',' tx_gbbulletin_bulletin'); | ||
Version vom 31. Oktober 2011, 18:30 Uhr
Alles wichtige zu TYPO3 Datenbankabfragen
Quelle z.T. http://www.typo3-lisardo.de/home/blog-post/2011/06/29/datenbankabfragen-in-extensions.html Zugriff: 10/2011
Datenbankabfragen sollten in Extensions nie über die normalen SQL-Befehle erfolgen. Gründe:
die globale Datenbank-Abstraktionsschicht DBAL wird eingbezogen; heisst, die Extension läuft automatisch auch mit anderen Datenbanken als MySQL die Verbindung zur Datenbank muss nicht eigens erstellt und beendet werden die INSERT-Queries führen automatisch ein FullQuote durch (die Mindest-Absicherung gegen SQL-Injection) die verfügbaren Befehle sind zum Teil einfach bequem …
Funktionen aufrufen
Die Klassen müssen nicht initialisiert werden, es reicht, sie über die GLOBALS aufzurufen:
$GLOBALS['TYPO3_DB']->exec_SELECTquery( .... )
Absicherung gegen SQL-Injection
Alle Eingaben, die vom Besucher der Website kommen (also über GET oder POST) müssen vorher abgesichert werden. Das betrifft vor allem die Befehle zum Einfügen in die Datenbank, ausserdem aber auch die Übernahme von Benutzerdaten in die where-Abschnitte der SQL-Abfragen. Auch hier sollten die Typo3-Funktionen benutzt werden, damit die Quotierung für jede Datenbank passend erfolgt. Folgende Funktionen stehen zur Verfügung:
# Quotieren von Zeichenketten - siehe auch quoteStr $GLOBALS['TYPO3_DB']->fullQuoteStr($str,$table);
Parameter
string: Zeichenkette, die quotiert werden soll string: Tabellenname (daraus entnimmt DBAL die korrekte Quotierungstechnik)
# Quotieren von eindimensionalen Arrays: $GLOBALS['TYPO3_DB']->fullQuoteArray($arr,$table,$noQuote=FALSE);
Parameter
array: eindimensionales oder assoziatives Array mit den Daten string: Tabellenname (daraus entnimmt DBAL die korrekte Quotierungstechnik) string/array: Liste oder Array von Schlüsseln, die nicht quotiert werden sollen. Nur bei assoziativen Datenarrays anwenden!
# kommaseparierte Listen zu Integerlisten umwandeln (über intval() ) $GLOBALS['TYPO3_DB']->cleanIntList($list)
Parameter
string: kommaseparierte Liste mit Werten, die Integer sein sollen
# Arraywerte zu Integer umwandeln (über intval() ) $GLOBALS['TYPO3_DB']->cleanIntArray($arr)
Parameter
array: Array mit Werten, die Integer sein sollen
Datenbankabfragen
# SELECT-Abfrage
$GLOBALS['TYPO3_DB']->exec_SELECTquery(
$select_fields,
$from_table,
$where_clause,
$groupBy=,
$orderBy=,
$limit=
)
Parameter
string: Liste der Felder oder * für alle Felder string: Tabelle(n). Es gelten die üblichen SQL-Regeln für Aliase string: WHERE-Klausel. Wie in SQL üblich. ACHTUNG: man muss alle GET / POST-Werte hier selbst qotieren! Verwenden Sie $this->fullQuoteStr() – siehe oben. Hier nicht Befehle wie GROUP oder LIMIT verwenden. string: Optionale GROUP-Anweisung string: Optionale ORDER BY-Anweisung string: Optionale LIMIT-Anweisung.
# INSERT-Abfrage
$GLOBALS['TYPO3_DB']->exec_INSERTquery (
$table,
$fields_values,
$no_quote_fields=FALSE
)
Parameter
string: Tabelle array: Feldwerte als array mit key=>value Paaren. Die Werte werden intern quotiert. Typischerweise verwenden Sie ein Array “$insertFields” mit ‘fieldname’=>‘value’ und übergeben es als Argument. string/array: Liste oder Array von Schlüsseln, die nicht quotiert werden sollen; siehe ober bei fullQuoteArray()
# UPDATE-Abfrage
$GLOBALS['TYPO3_DB']->exec_UPDATEquery (
$table,
$where,
$fields_values,
$no_quote_fields=FALSE
)
Parameter
string: Tabelle string: WHERE-Anweisung, typischerweise “uid=xx”. Achtung: Sie müssen alle GET- oder POST-Parameter hier selbst quoten – siehe oben. array: Feldwerte als array mit key=>value Paaren. Die Werte werden intern quotiert. Typischerweise verwenden Sie ein Array “$insertFields” mit ‘fieldname’=>‘value’ und übergeben es als Argument. string/array: Liste oder Array von Schlüsseln, die nicht quotiert werden sollen; siehe ober bei fullQuoteArray()
# DELETE-Abfrage $GLOBALS['TYPO3_DB']->exec_DELETEquery($table,$where)
Parameter
string Tabelle string WHERE-Anweisung, typischerweise “uid=xx”. Achtung: Sie müssen alle GET- oder POST-Parameter hier selbst quoten – siehe oben.
Spezielle Datenbank-Anweisungen
Die folgende Funktion eignet sich hervorragend zum Auswerten einer n-n Datenverbindung, wie sie zum Beispiel bei der Verwendung von Kategorien anfällt. Bedingung ist allerdings, dass die Verbindung mit einer m_m-Tabelle erfolgt und nicht über ein einzelnes Feld mit kommaseparierter ID-Liste.
# SELECT relational
$GLOBALS['TYPO3_DB']->exec_SELECT_mm_query(
$select,
$local_table,
$mm_table,
$foreign_table,
$whereClause=,
$groupBy=,
$orderBy=,
$limit=
)
Parameter
string: Liste der Felder oder * für alle Felder string: Name der lokalen Tabelle string: Name der Relationalen m_m-Tabelle string: Name der fremden, verknüpften Tabelle string: WHERE-Klausel. Wie in SQL üblich. ACHTUNG: man muss alle GET / POST-Werte hier selbst qotieren! Verwenden Sie $this->fullQuoteStr() – siehe oben. Hier nicht Befehle wie GROUP oder LIMIT verwenden. Es muss ein ‘ AND ‘ eingefügt werden. string: Optionale GROUP-Anweisung string: Optionale ORDER BY-Anweisung string: Optionale LIMIT-Anweisung.
Achtung: Viele Feldnamen in Typo3 sind identisch (uid, pid, hidden etc.). Das kann bei der Auswertung zu Problemen führen, da die Felder nicht eindeutig sind! Es ist deshalb sinnvoll, imm select- und für die Tabellennamen mit Aliasen zu arbeiten:
$GLOBALS['TYPO3_DB']->exec_SELECT_mm_query(
'a.uid as a_uid, b.uid as b_uid',
'tabelle_1 a',
'tabelle_m_m',
'tabelle_2 b',
$whereClause=,
$groupBy=,
$orderBy=,
$limit=
)
Ein ganz besondere Funktion ist listQuery(): Sie ermöglicht eine einfache Behandlung von relationalen Verknüpfungen, die nicht über eine dritte m_m-Tabelle laufen sondern über Felder mit kommaseparierten Listen.
Anmerkung: Die kommaseparierten Listen sind natürlich einem Datenbankfreak ein Grauß ;-) - ich würde davon abraten. Leider gibt es keine guten Möglichkeiten mit dem Kickstarter 1:n Verknüpfungen anzulegen.
$GLOBALS['TYPO3_DB']->listQuery (
$field,
$value,
$table
)
Das Problem derartiger Verknüpfungen ist, dass die Abfrage über LIKE laufen muss, und dabei zusätzlich unterschieden werden muss, auf welcher Seite des gewünschten Wertes das Komma folgt. Kern der Funktion ist diese Zeile:
$where='('.$field.' LIKE \'%,'.$command.',%\' OR '.$field.' LIKE \.$command.',%\' OR '.$field.' LIKE \'%,'.$command.'\' OR '.$field.'=\.$command.'\')';
Parameter
string: Feldname, der die kommaseparierte Liste enthält string: Wert, der gefunden werden soll string: Tabelle, in der gesucht wird (für die korrekte Behandlung durch DBAL)
In die gleiche Richtung geht die folgende Funktion, die Srings für die LIKE-Abfrage korrekt für DBAL umsetzt:
$GLOBALS['TYPO3_DB']->escapeStrForLike($str,$table)
WICHTIG: Es gibt eine hervorragende Abkürzung, um die wichtigen einschränkenden Felder in der WHERE-Abfrage automatisch einzuschließen: hidden, deleted, von/bis, Frontenduser etc. Die WHERE-Abrage muss einfach damit erweitert werden:
$this->cObj->enableFields('datenbank')
Also zum Beispiel in der exec_SelectQuery:
# SELECT-Abfrage
$GLOBALS['TYPO3_DB']->exec_SELECTquery(
$select_fields,
$from_table,
$where_clause.$this->cObj->enableFields('datenbank'),
$groupBy=,
$orderBy=,
$limit=
)
Noch drei weitere Funktionen werden öfter gebraucht:
# Liefert eine Integer zurück mit der Anzahl der betroffenen Datenzeilen, z. B. bei INSERT oder UPDATE $GLOBALS['TYPO3_DB']->sql_affected_rows( )
# Liefert eine Integer, die uid des zuletzt eingefügten Datensatzes (über INSERT) $GLOBALS['TYPO3_DB']->sql_insert_id ( )
# Liefert eine Integer, mit der Anzahl der gefundenen Datensätze $GLOBALS['TYPO3_DB']->t3lib_DB.sql_num_rows($res)
Parameter
pointer: Der Resultpointer einer vorher erfolgten SELECT-Abfrage.
Weiterführende Links
Typo3 Dokumentation Darin suchen nach »t3lib_DB«. t3lib_DB Class Reference (Achtung: geht ausserhalb seines Framesets auf).
Datenbankabfrage über piBase
Viel Arbeit nimmt einem der Zugriff über das piBase Objekt ab. Im Endeffekt greift es auf das Globale Datenbankobjekt zu (siehe unten) stellt aber schon einige Vordefinierte Funktjionien zur Verfügung. Beispielsweise muß man sich dann nicht mehr um Versteckte Datensätze, Start, Stop Zeiten etc. kümmern.
plugin.tx_gbcamps_pi1 {
#CMD =
pidList = 36
#pidSingle =
recursive = 1
#templateFile = EXT:gbcamps/res/template.html
}
Die Auskommentierten Werte sind ebenfalls sinnvolle Werte für den Start.
Die Funktion zum Abfragen ist
pi_exec_query($table,$count=0,$addWhere=,$mm_cat=,$groupBy=,$orderBy=,$query=)
Interessant ist die Tatsache, das die Funktion auf die Parameter des Array $this->internal zugreifen kann, das Angaben über die aktuelle Position im Abfrageergebnis etc. enthält. So kann die Abfrage allein über den Tabellennamen als Parameter gestartet werden.
Voraussetzung
In der TypoScript Konfiguration sollten die Werte:
Über das Globale Datenbankobjekt
DB-Abfragen in Typo3 auf eine MySQL Datenbank erfolgen über den Datenbank Abstraction Layer (DBAL,DAL). Erweiterungen ermöglichen eine Abfrage auch auf andere Datenbanken.
t3lib/class.t3lib_db.php
Die Instanz der Klasse steht im Front und Backend unter $GLOBALS['TYPO3_DB'] zur Verfügung. Der Aufruf erfolgt z.B. so:
$GLOBALS['TYPO3_DB']->sql_query(meineParameter);
Es sind auch komplexe Datenbankabfragen möglich z.B. eine Abfrage die über zwei Tabellen geht die über eine mm Verbindung verknüpft sind. Dies erfolgt mit dem Befehl:
$GLOBALS['TYPO3_DB']->exec_SELECT_mm_query($select,$local_table,$mm_table,$foreign_table,$whereClause=,$groupBy=,$orderBy=,$limit=)
Allgemein
exec_SELECTquery( '...', # hier alle Felder 'tabelle1 a,tabelle2 b,tabelle3 c', #hier die Tabellen 'a.feld=b.uid and b.feld=c.uid ...', #die Zuordnung und sonstige wheres '','','');
Beispiele
// SELECT:
$res = $GLOBALS['TYPO3_DB']->exec_SELECTquery(
'*', // SELECT ...
'mytable', // FROM ...
'uid=123 AND title LIKE "%blabla%"', // WHERE...
'', // GROUP BY...
'title', // ORDER BY...
'5,10' // LIMIT to 10 rows, starting with number 5 (MySQL compat.)
);
// INSERT:
$insertArray = array(
'pid' => 123,
'title' => "My Title"
);
$res = $GLOBALS['TYPO3_DB']->exec_INSERTquery('mytable', $insertArray);
// UPDATE:
$updateArray = array(
'title' => "My Title"
);
$res = $GLOBALS['TYPO3_DB']->exec_UPDATEquery('mytable', 'uid=123', $updateArray);
// DELETE
$res = $GLOBALS['TYPO3_DB']->exec_DELETEquery('mytable', 'uid=123');
$res=$GLOBALS['TYPO3_DB']->exec_SELECTquery( 'COUNT(ap-status)', //felder 'aa_tagungen', //from 'id= '.$_GET[tid].'', //where 'ap-status', //group '', //order '' //limit ); $l = mysql_fetch_array($res);
Zum Debuggen kann man so den Query testen:
t3lib_div::debug($GLOBALS['TYPO3_DB']->SELECTquery( 'COUNT(ap-status)', //felder 'aa_tagungen', //from 'id= '.$_GET[tid].'', //where 'ap-status', //group '', //order '' //limit ));
Weitere Snippets und nützliche Funktionen
Kleines Sammelsurium
($GLOBALS['TYPO3_DB']->debug_lastBuiltQuery,"Last SQL");
searchWhere
Beispiel
$where .= $this->cObj->searchWhere($this->piVars['searchText'],'title,description,text1,text2,text3',' tx_gbbulletin_bulletin');
