SQLite3::setAuthorizer

(PHP 8)

SQLite3::setAuthorizerУстанавливает callback-функцию, которая будет использоваться в качестве авторизатора для ограничения действий выражения

Описание

public SQLite3::setAuthorizer(?callable $callback): bool

Устанавливает callback-функцию, которая будет вызываться SQLite каждый раз при выполнении действия (чтение, удаление, модификация и т.д.). Это используется при подготовке SQL-выражения из ненадёжного источника, чтобы гарантировать, что SQL-выражения не будут пытаться получить доступ к данным, которые им не разрешено видеть, или чтобы они не пытались выполнить вредоносные выражения, которые повреждают базу данных. Например, приложение может позволить пользователю вводить произвольные SQL-запросы для выполнения в базе данных. Но приложение не хочет, чтобы пользователь мог вносить произвольные изменения в базу данных. Тогда можно установить авторизатор, который запрещает использование любых выражений, кроме SELECT, пока готовится введённый пользователем SQL-запрос.

Callback-авторизатор может бывать вызван несколько раз для каждого выражения, подготовленного SQLite. Запросы SELECT или UPDATE будут вызывать авторизатор для каждой считываемой или модифицируемой колонки.

При вызове авторизатора может использоваться до пяти параметров. Первый параметр передаётся всегда, его тип - целое число (int) (код действия), совпадающий с константой SQLite3. Другие параметры передаются только для некоторых действий. Данная таблица описывает второй и третий параметры в соответствии с действием:

Список кодов действия и параметров
Действие Второй параметр Третий параметр
SQLite3::CREATE_INDEXИмя индексаИмя таблицы
SQLite3::CREATE_TABLEИмя таблицыnull
SQLite3::CREATE_TEMP_INDEXИмя индексаИмя таблицы
SQLite3::CREATE_TEMP_TABLEИмя таблицыnull
SQLite3::CREATE_TEMP_TRIGGERИмя триггераИмя таблицы
SQLite3::CREATE_TEMP_VIEWИмя представленияnull
SQLite3::CREATE_TRIGGERИмя триггераИмя таблицы
SQLite3::CREATE_VIEWИмя представленияnull
SQLite3::DELETEИмя таблицыnull
SQLite3::DROP_INDEXИмя индексаИмя таблицы
SQLite3::DROP_TABLEИмя таблицыnull
SQLite3::DROP_TEMP_INDEXИмя индексаИмя таблицы
SQLite3::DROP_TEMP_TABLEИмя таблицыnull
SQLite3::DROP_TEMP_TRIGGERИмя триггераИмя таблицы
SQLite3::DROP_TEMP_VIEWИмя представленияnull
SQLite3::DROP_TRIGGERИмя триггераИмя таблицы
SQLite3::DROP_VIEWИмя представленияnull
SQLite3::INSERTИмя таблицыnull
SQLite3::PRAGMAИмя pragmaПервый аргумент, переданный pragma, или null
SQLite3::READИмя таблицыИмя колонки
SQLite3::SELECTnullnull
SQLite3::TRANSACTIONОперацияnull
SQLite3::UPDATEИмя таблицыИмя колонки
SQLite3::ATTACHИмя файлаnull
SQLite3::DETACHИмя базы данныхnull
SQLite3::ALTER_TABLEИмя базы данныхИмя таблицы
SQLite3::REINDEXИмя индексаnull
SQLite3::ANALYZEИмя таблицыnull
SQLite3::CREATE_VTABLEИмя таблицыИмя модуля
SQLite3::DROP_VTABLEИмя таблицыИмя модуля
SQLite3::FUNCTIONnullИмя функции
SQLite3::SAVEPOINTОперацияИмя точки сохранения
SQLite3::RECURSIVEnullnull

Четвёртым параметром будет имя базы данных ("main", "temp" и т.д.), если необходимо.

Пятый параметр callback-авторизатора - имя самого внутреннего триггера или представления, ответственного за попытку получения доступа, или null, если эта попытка получения доступа произведена напрямую из кода SQL верхнего уровня.

Когда callback-функция возвращает SQLite3::OK, это значит, что запрошенная операция принята. Когда callback-функция возвращает SQLite3::DENY, вызов, запустивший авторизатор, потерпит неудачу с сообщением об ошибке, объясняющим, что доступ запрещён.

Если код действия - SQLite3::READ, и callback-функция возвращает SQLite3::IGNORE, то подготовленное выражение составляется для замены на null значения колонки таблицы, которое бы считывалось, если бы вернулся код SQLite3::OK. Возврат SQLite3::IGNORE может использоваться, чтобы запретить недоверенному пользователю доступ к отдельным колонкам таблицы.

Когда на таблицу ссылаются через SELECT, но из неё не извлекается ни одного значения колонок, (например, в запросе "SELECT count(*) FROM table"), то callback-авторизатор SQLite3::READ вызывается один раз для этой таблицы с именем колонки, которое равно пустой строке.

Если код действия - SQLite3::DELETE, и callback-функция возвращает SQLite3::IGNORE, тогда операция DELETE продолжает свою работу, но с выключенной оптимизацией удаления, и все строки удаляются по отдельности.

В соединении с базой данных одновременно может использоваться только один авторизатор. Каждый вызов SQLite3::setAuthorizer() перезаписывает предыдущий. Отключить авторизатор можно, передав null вместо callback-функции. По умолчанию авторизатор выключен.

Callback-авторизатор не должен делать ничего, что изменяет подключение к базе данных, которое вызвало callback-авторизатор.

Заметьте, что авторизатор вызывается только тогда, когда выражение подготавливается, а не тогда, когда оно исполняется.

Более подробную информацию можно найти в » Документации SQLite3.

Список параметров

callback

Функция callable для вызова.

Если передан null, то текущий callback-авторизатор будет отключён.

Возвращаемые значения

Возвращает true в случае успешного выполнения или false в случае возникновения ошибки.

Ошибки

Этот метод не вызывает никаких ошибок, но если авторизатор включён и возвращает некорректное значение, то при подготовке выражения будет вызвана ошибка (или выброшено исключение, в зависимости от использования метода SQLite3::enableExceptions()).

Примеры

Пример #1 Пример использования SQLite3::setAuthorizer()

В данном примере разрешён доступ только для чтения, и только некоторые из колонок таблицы users будут возвращены. Остальные колонки будут заменены на null.

<?php
$db
= new SQLite3('data.sqlite');
$db->exec('CREATE TABLE users (id, name, password);');
$db->exec('INSERT INTO users VALUES (1, \'Pauline\', \'Snails4eva\');');

$allowed_columns = ['id', 'name'];

$db->setAuthorizer(function (int $action, ...$args) use ($allowed_columns) {
if (
$action === SQLite3::READ) {
list(
$table, $column) = $args;

if (
$table === 'users' && in_array($column, $allowed_columns) {
return
SQLite3::OK;
}

return
SQLite3::IGNORE;
}

return
SQLite3::DENY;
});

print_r($db->querySingle('SELECT * FROM users WHERE id = 1;'));

Результат выполнения приведённого примера:

Array
(
    [id] => 1
    [name] => Pauline
    [password] =>
)
add a note add a note

User Contributed Notes

There are no user contributed notes for this page.
To Top