PHP警告：sprintf（）：参数太少

Question

我有一个运行脚本的cronjob - >从不同的iTunes商店获取数据。有时候我会收到上面提到的错误信息。

我认为它是因为特殊字母或类似的东西。有没有办法检查问题的确切位置？哪个“特殊字符”可以对错误进行抑制。 IF语句有没有解决方法？

我不能重现错误，因为它并不总是出现。在这方面获得帮助会很好。

下面是代码：

所有的

foreach ($Kategorien->entry as $item) { 
    $id = addslashes($item->id); 
    $title = utf8_decode(addslashes($item->title)); 
    $preview = addslashes($item->link[1]["href"]); 
    $namespaces = $item->getNameSpaces(true); 
    $im = $item->children($namespaces['im']); 
    $track_title = utf8_decode(addslashes($im->name)); 
    $track_artist = utf8_decode(addslashes($im->artist)); 
    $track_amount = addslashes($im->price->attributes()->amount); 
    $track_currency = utf8_decode(addslashes($im->price->attributes()->currency)); 
    $release_date = addslashes($im->releaseDate); 
    $image = addslashes($im->image[2]); 
    $entry_id['im'] = $item->id->attributes('im', TRUE); 
    $track_id = addslashes($entry_id['im']['id']); 
    $category_id['im'] = $item->category->attributes('im', TRUE); 
    $genre_id = addslashes($category_id['im']['id']); 
    $genre_cat = utf8_decode(addslashes($item->category->attributes()->term)); 

    $insertSQL = sprintf("UPDATE track_itunes_countries_total SET modified = NOW(), modified_genre = '$genre_name' WHERE id = ".$row_select_country['id'].""); 
    $Result1 = mysql_query($insertSQL, $con) or die(mysql_error()); 


    $insertSQL = sprintf("INSERT INTO track_itunes_".$cc."_total (id, title, preview, track_title, track_artist, track_amount, track_currency, release_date, image, track_id, genre_id, genre_cat, country, Online, Approved) VALUES ('$id', '$title', '$preview', '$track_title', '$track_artist', '$track_amount', '$track_currency', '$release_date', '$image', '$track_id', '$genre_id', '$genre_cat', '$cc', '1', '1') ON DUPLICATE KEY UPDATE title='$title',preview='$preview',track_title='$track_title',track_artist='$track_artist',track_amount='$track_amount',track_currency='$track_currency',release_date='$release_date',image='$image',track_id='$track_id',genre_id='$genre_id',genre_cat='$genre_cat',country='$cc'"); 

     $Result1 = mysql_query($insertSQL, $con);} 

Answer 1

我会以切线的方式回答，因为您使用的是不推荐使用的mysql_ *库，而是向您显示PDO。这将或者a）解决你的问题或者b）提供更多信息性的错误信息，这将有助于你的调试。

foreach ($Kategorien->entry as $item) { 
$id = $item->id; 
$title = utf8_decode($item->title); 
$preview = $item->link[1]["href"]; 
$namespaces = $item->getNameSpaces(true); 
$im = $item->children($namespaces['im']); 
$track_title = utf8_decode($im->name); 
$track_artist = utf8_decode($im->artist); 
$track_amount = $im->price->attributes()->amount; 
$track_currency = utf8_decode($im->price->attributes()->currency); 
$release_date = $im->releaseDate; 
$image = $im->image[2]; 
$entry_id['im'] = $item->id->attributes('im', TRUE); 
$track_id = $entry_id['im']['id']; 
$category_id['im'] = $item->category->attributes('im', TRUE); 
$genre_id = $category_id['im']['id']; 
$genre_cat = utf8_decode($item->category->attributes()->term); 

$insertSQL = "UPDATE track_itunes_countries_total 
       SET modified = NOW(), modified_genre = :genre_name 
       WHERE id = :row_id"); 
$stmt = $pdo->prepare($insertSQL); 
$stmt->bindValue(':genre_name', $genre_name); 
$stmt->bindValue(':row_id', $row_select_country['id']); 
$success = $stmt->execute(); 
if(!$success){ 
    //something bad happened 
} 

//use whitelist techniques to guarantee valid, non-malicious input 
//with table names or column names. whitelistTableName is a function 
//that YOU have to write. 
$clean_table_name = whitelistTableName("track_itunes_{$cc}_total"); 
$insertSQL = "INSERT INTO {$clean_table_name} 
       (id, title, preview, track_title, 
       track_artist, track_amount, track_currency, 
       release_date, image, track_id, genre_id, 
       genre_cat, country, Online, Approved) 
       VALUES 
       (:id, :title, :preview, :track_title, 
       :track_artist, :track_amount, :track_currency, 
       :release_date, :image, :track_id, :genre_id, 
       :genre_cat, :country, :Online, :Approved) 
       ON DUPLICATE KEY UPDATE 
       title=:title_u,preview=:preview_u,track_title=:track_title_u, 
       track_artist=:track_artist_u,track_amount=:track_amount_u, 
       track_currency=:track_currency_u,release_date=:release_date_u, 
       image=:image_u,track_id=:track_id_u,genre_id=:genre_id_u, 
       genre_cat=:genre_cat_u,country=:cc_u"); 

    $stmt = $pdo->prepare($insertSQL); 
    $stmt->bindValue(':id', $id); 
    $stmt->bindValue(':title', $title); 
    $stmt->bindValue(':preview', $preview); 
    $stmt->bindValue(':track_title', $track_title); 
    $stmt->bindValue(':track_artist', $track_artist); 
    $stmt->bindValue(':track_amount', $track_amount); 
    $stmt->bindValue(':track_currency', $track_currency); 
    $stmt->bindValue(':release_date', $release_date); 
    $stmt->bindValue(':image', $image); 
    $stmt->bindValue(':track_id', $track_id); 
    $stmt->bindValue(':genre_id', $genre_id); 
    $stmt->bindValue(':genre_cat', $genre_cat); 
    $stmt->bindValue(':country', $cc); 
    $stmt->bindValue(':Online', 1); 
    $stmt->bindValue(':Approved', 1); 
    //some drivers doesn't allow to have a named placeholder to appear more than once so we must duplicate those. 
    $stmt->bindValue(':id_u', $id); 
    $stmt->bindValue(':title_u', $title); 
    $stmt->bindValue(':preview_u', $preview); 
    $stmt->bindValue(':track_title_u', $track_title); 
    $stmt->bindValue(':track_artist_u', $track_artist); 
    $stmt->bindValue(':track_amount_u', $track_amount); 
    $stmt->bindValue(':track_currency_u', $track_currency); 
    $stmt->bindValue(':release_date_u', $release_date); 
    $stmt->bindValue(':image_u', $image); 
    $stmt->bindValue(':track_id_u', $track_id); 
    $stmt->bindValue(':genre_id_u', $genre_id); 
    $stmt->bindValue(':genre_cat_u', $genre_cat); 
    $stmt->bindValue(':country_u', $cc); 
    $stmt->bindValue(':Online_u', 1); 
    $stmt->bindValue(':Approved_u', 1); 
    $success = $stmt->execute(); 
    if(!$success){ 
     //something bad happened 
    } 
} 

更多阅读这里：http://php.net/manual/en/book.pdo.php这是很容易，比mysql_好得多*库

扩大的白名单技术：有几种方法来净化用户输入。一种是逃避：这是在用户输入是“开放式”的情况下完成的，就像文本输入一样，其中有无限的可能性。如上所示，准备好的陈述对此非常合适。

另一种可能性是白名单，当用户输入只有有限的有效可能性时（例如，单选按钮，复选框，选项选择等），并且任何无效输入是错误或恶意的，这都很有用。

一个例子如下：

whitelistTableName($tablename){ 
    $allowedTables = array('tbl1', 'tbl2', 'tbl3'); 
    if(in_array($tablename, $allowedTables)){ 
     return $tablename; 
    } else { 
     throw new Exception('Malicious attempt detected'); 
    } 
} 

这是很基本的，但可以让你上手。更好的方法是查询您的information_schema数据库以获取每个有效的表名，而不是手动对其进行硬编码。

Answer 2

第一：因为MySQL是不赞成你应该使用mysql_real_escape_string（），甚至更好地利用mysqli的，而不是MySQL的功能。

对于错误消息，您应该查看sprintf的文档以了解错误。

或者只是使用适当的连接。

$string = "fooo='".$var."'"; 

，而不是你的懒惰符号

$string = "fooo='$var'"; 

下面是一个例子包括mysql_real_escape_string（）：

$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'", 
      mysql_real_escape_string($user), 
      mysql_real_escape_string($password)); 

你也可以给特定位置的束缚瓦尔：

$query = sprintf("SELECT * FROM users WHERE user='%2$s' AND password='%1$s'", 
      mysql_real_escape_string($password), 
      mysql_real_escape_string($user) 
); 

A nd对于mysql_query（），如果不使用多于1个数据库连接，则不需要提供连接链接$ con。

mysql_query（$ query）;

将做的伎俩。

Answer 3

这不是sprintf的工作原理。

sprintf意味着字符串printf - 你正在做一个printf返回一个字符串，而不是直接打印到标准输出。

printf通过将占位符分配给格式字符串（第一个参数），并将占位符的边界值作为后续参数来工作。

例如

$s = sprintf("SELECT * FROM %s WHERE id = %d", 'some_table', $id); 

这在某种程度上净化输入，因为你正迫使变量被丢在使用格式某些类型的一个简单的方式：在这种情况下，％s和％d的串和十进制/数字。在运行时，这些将被替换为“some_table”，无论intval（$ id）是什么。

您得到“参数太少”的原因是因为您缺少绑定值。