SQLite3::setAuthorizer

(PHP 8)

SQLite3::setAuthorizer — Устанавливает callback-функцию, которая будет использоваться в качестве авторизатора для ограничения действий выражения

Описание

public SQLite3::setAuthorizer(?callable $callback): bool

Устанавливает callback-функцию, которая будет вызываться SQLite каждый раз при выполнении действия (чтение, удаление, модификация и т.д.). Это используется при подготовке SQL-выражения из ненадёжного источника, чтобы гарантировать, что SQL-выражения не будут пытаться получить доступ к данным, которые им не разрешено видеть, или чтобы они не пытались выполнить вредоносные выражения, которые повреждают базу данных. Например, приложение может позволить пользователю вводить произвольные SQL-запросы для выполнения в базе данных. Но приложение не хочет, чтобы пользователь мог вносить произвольные изменения в базу данных. Тогда можно установить авторизатор, который запрещает использование любых выражений, кроме SELECT, пока готовится введённый пользователем SQL-запрос.

Callback-авторизатор может бывать вызван несколько раз для каждого выражения, подготовленного SQLite. Запросы SELECT или UPDATE будут вызывать авторизатор для каждой считываемой или модифицируемой колонки.

При вызове авторизатора может использоваться до пяти параметров. Первый параметр передаётся всегда, его тип - целое число (int) (код действия), совпадающий с константой SQLite3. Другие параметры передаются только для некоторых действий. Данная таблица описывает второй и третий параметры в соответствии с действием:

**Список кодов действия и параметров**
Действие	Второй параметр	Третий параметр
`SQLite3::CREATE_INDEX`	Имя индекса	Имя таблицы
`SQLite3::CREATE_TABLE`	Имя таблицы	`null`
`SQLite3::CREATE_TEMP_INDEX`	Имя индекса	Имя таблицы
`SQLite3::CREATE_TEMP_TABLE`	Имя таблицы	`null`
`SQLite3::CREATE_TEMP_TRIGGER`	Имя триггера	Имя таблицы
`SQLite3::CREATE_TEMP_VIEW`	Имя представления	`null`
`SQLite3::CREATE_TRIGGER`	Имя триггера	Имя таблицы
`SQLite3::CREATE_VIEW`	Имя представления	`null`
`SQLite3::DELETE`	Имя таблицы	`null`
`SQLite3::DROP_INDEX`	Имя индекса	Имя таблицы
`SQLite3::DROP_TABLE`	Имя таблицы	`null`
`SQLite3::DROP_TEMP_INDEX`	Имя индекса	Имя таблицы
`SQLite3::DROP_TEMP_TABLE`	Имя таблицы	`null`
`SQLite3::DROP_TEMP_TRIGGER`	Имя триггера	Имя таблицы
`SQLite3::DROP_TEMP_VIEW`	Имя представления	`null`
`SQLite3::DROP_TRIGGER`	Имя триггера	Имя таблицы
`SQLite3::DROP_VIEW`	Имя представления	`null`
`SQLite3::INSERT`	Имя таблицы	`null`
`SQLite3::PRAGMA`	Имя pragma	Первый аргумент, переданный pragma, или `null`
`SQLite3::READ`	Имя таблицы	Имя колонки
`SQLite3::SELECT`	`null`	`null`
`SQLite3::TRANSACTION`	Операция	`null`
`SQLite3::UPDATE`	Имя таблицы	Имя колонки
`SQLite3::ATTACH`	Имя файла	`null`
`SQLite3::DETACH`	Имя базы данных	`null`
`SQLite3::ALTER_TABLE`	Имя базы данных	Имя таблицы
`SQLite3::REINDEX`	Имя индекса	`null`
`SQLite3::ANALYZE`	Имя таблицы	`null`
`SQLite3::CREATE_VTABLE`	Имя таблицы	Имя модуля
`SQLite3::DROP_VTABLE`	Имя таблицы	Имя модуля
`SQLite3::FUNCTION`	`null`	Имя функции
`SQLite3::SAVEPOINT`	Операция	Имя точки сохранения
`SQLite3::RECURSIVE`	`null`	`null`

Четвёртым параметром будет имя базы данных ("main", "temp" и т.д.), если необходимо.

Пятый параметр callback-авторизатора - имя самого внутреннего триггера или представления, ответственного за попытку получения доступа, или null, если эта попытка получения доступа произведена напрямую из кода SQL верхнего уровня.

Когда callback-функция возвращает SQLite3::OK, это значит, что запрошенная операция принята. Когда callback-функция возвращает SQLite3::DENY, вызов, запустивший авторизатор, потерпит неудачу с сообщением об ошибке, объясняющим, что доступ запрещён.

Если код действия - SQLite3::READ, и callback-функция возвращает SQLite3::IGNORE, то подготовленное выражение составляется для замены на null значения колонки таблицы, которое бы считывалось, если бы вернулся код SQLite3::OK. Возврат SQLite3::IGNORE может использоваться, чтобы запретить недоверенному пользователю доступ к отдельным колонкам таблицы.

Когда на таблицу ссылаются через SELECT, но из неё не извлекается ни одного значения колонок, (например, в запросе "SELECT count(*) FROM table"), то callback-авторизатор SQLite3::READ вызывается один раз для этой таблицы с именем колонки, которое равно пустой строке.

Если код действия - SQLite3::DELETE, и callback-функция возвращает SQLite3::IGNORE, тогда операция DELETE продолжает свою работу, но с выключенной оптимизацией удаления, и все строки удаляются по отдельности.

В соединении с базой данных одновременно может использоваться только один авторизатор. Каждый вызов SQLite3::setAuthorizer() перезаписывает предыдущий. Отключить авторизатор можно, передав null вместо callback-функции. По умолчанию авторизатор выключен.

Callback-авторизатор не должен делать ничего, что изменяет подключение к базе данных, которое вызвало callback-авторизатор.

Заметьте, что авторизатор вызывается только тогда, когда выражение подготавливается, а не тогда, когда оно исполняется.

Более подробную информацию можно найти в » Документации SQLite3.

Список параметров

callback

Функция callable для вызова.

Если передан null, то текущий callback-авторизатор будет отключён.

Возвращаемые значения

Возвращает true в случае успешного выполнения или false, если возникла ошибка.

Ошибки

Этот метод не вызывает никаких ошибок, но если авторизатор включён и возвращает некорректное значение, то при подготовке выражения будет вызвана ошибка (или выброшено исключение, в зависимости от использования метода SQLite3::enableExceptions()).

Примеры

Пример #1 Пример использования SQLite3::setAuthorizer()

В данном примере разрешён доступ только для чтения, и только некоторые из колонок таблицы users будут возвращены. Остальные колонки будут заменены на null.

<?php
$db = new SQLite3('data.sqlite');
$db->exec('CREATE TABLE users (id, name, password);');
$db->exec('INSERT INTO users VALUES (1, \'Pauline\', \'Snails4eva\');');

$allowed_columns = ['id', 'name'];

$db->setAuthorizer(function (int $action, ...$args) use ($allowed_columns) {
    if ($action === SQLite3::READ) {
        list($table, $column) = $args;

        if ($table === 'users' && in_array($column, $allowed_columns) {
            return SQLite3::OK;
        }

        return SQLite3::IGNORE;
    }

    return SQLite3::DENY;
});

print_r($db->querySingle('SELECT * FROM users WHERE id = 1;'));

Результат выполнения приведённого примера:

Array
(
    [id] => 1
    [name] => Pauline
    [password] =>
)

add a note

User Contributed Notes

There are no user contributed notes for this page.