Français
Français
Dans PHP, PDO (PHP Data Objectts) est un moyen léger d'accéder aux bases de données. Il prend en charge plusieurs types de bases de données, tels que MySQL, PostgreSQL, SQLite, etc. PDO fournit une méthode puissante PDOSTATION :: bindValue pour lier les paramètres dans les instructions SQL. Cela évite non seulement les problèmes d'injection SQL, mais améliore également la maintenabilité et la lisibilité du code. Cet article expliquera en détail comment utiliser correctement BindValue pour lier les paramètres.
Pdostatement :: bindValue est un paramètre spécifié utilisé dans PDO pour lier une valeur à une instruction SQL. Cette méthode lie une valeur à un paramètre et peut remplacer automatiquement les espaces réservés dans l'instruction SQL lors de l'exécution de l'instruction SQL. Il y a deux avantages à procéder:
Évitez les attaques d'injection SQL : le remplacement des espaces réservés par des valeurs de liaison peut garantir que les valeurs entrantes ne sont pas injectées avec malveillance dans des requêtes SQL.
Le code est clair et facile à entretenir : l'utilisation des espaces réservées et des paramètres liés rend les instructions SQL plus claires et séparées des données elle-même, ce qui facilite la modification plus tard.
La syntaxe de base de la méthode BindValue est la suivante:
<span><span><span class="hljs-title class_">PDOStatement</span></span><span>::</span><span><span class="hljs-title function_ invoke__">bindValue</span></span><span>(</span><span><span class="hljs-variable">$parameter</span></span><span>, </span><span><span class="hljs-variable">$value</span></span><span>, </span><span><span class="hljs-variable">$data_type</span></span><span> = PDO::</span><span><span class="hljs-variable constant_">PARAM_STR</span></span><span>);
</span></span>$ Paramètre : Il s'agit d'un espace réservé dans une instruction SQL, qui peut être un espace réservé nommé (par exemple : nom d'utilisateur ) ou un placement de point d'interrogation ( ? ).
$ Value : la valeur qui doit être liée.
$ data_type (facultatif): le type de valeur liée. Vous pouvez généralement choisir PDO :: param_str (par défaut), PDO :: param_int , PDO :: param_bool et autres types.
Supposons que nous souhaitions exécuter une requête pour obtenir les informations détaillées d'un utilisateur et de la requête en fonction du nom d'utilisateur de l'utilisateur:
<span><span><span class="hljs-meta"><?php</span></span><span>
</span><span><span class="hljs-comment">// créer PDO Exemple</span></span><span>
</span><span><span class="hljs-variable">$pdo</span></span><span> = </span><span><span class="hljs-keyword">new</span></span><span> </span><span><span class="hljs-title function_ invoke__">PDO</span></span><span>(</span><span><span class="hljs-string">'mysql:host=localhost;dbname=test'</span></span><span>, </span><span><span class="hljs-string">'root'</span></span><span>, </span><span><span class="hljs-string">''</span></span><span>);
</span><span><span class="hljs-comment">// Préparer SQL Déclaration,Utiliser les espaces réservés nommés</span></span><span>
</span><span><span class="hljs-variable">$sql</span></span><span> = </span><span><span class="hljs-string">"SELECT * FROM users WHERE username = :username"</span></span><span>;
</span><span><span class="hljs-comment">// Prétraitement SQL Déclaration</span></span><span>
</span><span><span class="hljs-variable">$stmt</span></span><span> = </span><span><span class="hljs-variable">$pdo</span></span><span>-></span><span><span class="hljs-title function_ invoke__">prepare</span></span><span>(</span><span><span class="hljs-variable">$sql</span></span><span>);
</span><span><span class="hljs-comment">// utiliser bindValue Lier les paramètres</span></span><span>
</span><span><span class="hljs-variable">$username</span></span><span> = </span><span><span class="hljs-string">'john_doe'</span></span><span>;
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">bindValue</span></span><span>(</span><span><span class="hljs-string">':username'</span></span><span>, </span><span><span class="hljs-variable">$username</span></span><span>, PDO::</span><span><span class="hljs-variable constant_">PARAM_STR</span></span><span>);
</span><span><span class="hljs-comment">// Exécuter une requête</span></span><span>
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">execute</span></span><span>();
</span><span><span class="hljs-comment">// Obtenir des résultats</span></span><span>
</span><span><span class="hljs-variable">$user</span></span><span> = </span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">fetch</span></span><span>(PDO::</span><span><span class="hljs-variable constant_">FETCH_ASSOC</span></span><span>);
</span><span><span class="hljs-title function_ invoke__">print_r</span></span><span>(</span><span><span class="hljs-variable">$user</span></span><span>);
</span><span><span class="hljs-meta">?></span></span><span>
</span></span>Dans le code ci-dessus,: le nom d'utilisateur est un espace réservé nommé dans l'instruction SQL, et la méthode BindValue lie le nom d'utilisateur réel John_Doe à cet placement. Lorsque SQL est exécuté , : Le nom d'utilisateur est remplacé par John_Doe .
En plus de nommer les espaces réservés, vous pouvez également utiliser un point d'interrogation ( ? ) Comme espace réservé. Voici un exemple d'utilisation d'un espace réservé d'interrogation:
<span><span><span class="hljs-meta"><?php</span></span><span>
</span><span><span class="hljs-comment">// créer PDO Exemple</span></span><span>
</span><span><span class="hljs-variable">$pdo</span></span><span> = </span><span><span class="hljs-keyword">new</span></span><span> </span><span><span class="hljs-title function_ invoke__">PDO</span></span><span>(</span><span><span class="hljs-string">'mysql:host=localhost;dbname=test'</span></span><span>, </span><span><span class="hljs-string">'root'</span></span><span>, </span><span><span class="hljs-string">''</span></span><span>);
</span><span><span class="hljs-comment">// Préparer SQL Déclaration,utiliser问号占位符</span></span><span>
</span><span><span class="hljs-variable">$sql</span></span><span> = </span><span><span class="hljs-string">"SELECT * FROM users WHERE username = ?"</span></span><span>;
</span><span><span class="hljs-comment">// Prétraitement SQL Déclaration</span></span><span>
</span><span><span class="hljs-variable">$stmt</span></span><span> = </span><span><span class="hljs-variable">$pdo</span></span><span>-></span><span><span class="hljs-title function_ invoke__">prepare</span></span><span>(</span><span><span class="hljs-variable">$sql</span></span><span>);
</span><span><span class="hljs-comment">// utiliser bindValue Lier les paramètres</span></span><span>
</span><span><span class="hljs-variable">$username</span></span><span> = </span><span><span class="hljs-string">'jane_doe'</span></span><span>;
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">bindValue</span></span><span>(</span><span><span class="hljs-number">1</span></span><span>, </span><span><span class="hljs-variable">$username</span></span><span>, PDO::</span><span><span class="hljs-variable constant_">PARAM_STR</span></span><span>); </span><span><span class="hljs-comment">// Lier l'espace réservé aux premiers points d'interrogation</span></span><span>
</span><span><span class="hljs-comment">// Exécuter une requête</span></span><span>
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">execute</span></span><span>();
</span><span><span class="hljs-comment">// Obtenir des résultats</span></span><span>
</span><span><span class="hljs-variable">$user</span></span><span> = </span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">fetch</span></span><span>(PDO::</span><span><span class="hljs-variable constant_">FETCH_ASSOC</span></span><span>);
</span><span><span class="hljs-title function_ invoke__">print_r</span></span><span>(</span><span><span class="hljs-variable">$user</span></span><span>);
</span><span><span class="hljs-meta">?></span></span><span>
</span></span>Dans cet exemple, nous lions l'espace réservé du premier point d'interrogation par le premier paramètre 1 de la méthode BindValue . Notez que l'ordre d'interrogation des espaces réservés commence à 1, pas à 0.
Bien que BindValue et BindParam soient tous deux utilisés pour lier les paramètres SQL, il existe des différences subtiles entre elles:
BindValue lie immédiatement la valeur à l'espace réservé et, quelle que soit l'exécution ultérieure, la valeur liée est toujours la valeur initialement passée.
BindParam lie une référence à une variable, ce qui signifie que si la valeur de cette variable est modifiée avant d'exécuter l'instruction SQL, les paramètres liés changent également.
Par exemple:
<span><span><span class="hljs-meta"><?php</span></span><span>
</span><span><span class="hljs-variable">$pdo</span></span><span> = </span><span><span class="hljs-keyword">new</span></span><span> </span><span><span class="hljs-title function_ invoke__">PDO</span></span><span>(</span><span><span class="hljs-string">'mysql:host=localhost;dbname=test'</span></span><span>, </span><span><span class="hljs-string">'root'</span></span><span>, </span><span><span class="hljs-string">''</span></span><span>);
</span><span><span class="hljs-comment">// utiliser bindValue</span></span><span>
</span><span><span class="hljs-variable">$sql</span></span><span> = </span><span><span class="hljs-string">"SELECT * FROM users WHERE username = :username"</span></span><span>;
</span><span><span class="hljs-variable">$stmt</span></span><span> = </span><span><span class="hljs-variable">$pdo</span></span><span>-></span><span><span class="hljs-title function_ invoke__">prepare</span></span><span>(</span><span><span class="hljs-variable">$sql</span></span><span>);
</span><span><span class="hljs-variable">$username</span></span><span> = </span><span><span class="hljs-string">'john_doe'</span></span><span>;
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">bindValue</span></span><span>(</span><span><span class="hljs-string">':username'</span></span><span>, </span><span><span class="hljs-variable">$username</span></span><span>);
</span><span><span class="hljs-variable">$username</span></span><span> = </span><span><span class="hljs-string">'jane_doe'</span></span><span>; </span><span><span class="hljs-comment">// Valeur variable modifiée</span></span><span>
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">execute</span></span><span>(); </span><span><span class="hljs-comment">// 查询会utiliser john_doe</span></span><span>
</span><span><span class="hljs-comment">// utiliser bindParam</span></span><span>
</span><span><span class="hljs-variable">$sql</span></span><span> = </span><span><span class="hljs-string">"SELECT * FROM users WHERE username = :username"</span></span><span>;
</span><span><span class="hljs-variable">$stmt</span></span><span> = </span><span><span class="hljs-variable">$pdo</span></span><span>-></span><span><span class="hljs-title function_ invoke__">prepare</span></span><span>(</span><span><span class="hljs-variable">$sql</span></span><span>);
</span><span><span class="hljs-variable">$username</span></span><span> = </span><span><span class="hljs-string">'john_doe'</span></span><span>;
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">bindParam</span></span><span>(</span><span><span class="hljs-string">':username'</span></span><span>, </span><span><span class="hljs-variable">$username</span></span><span>);
</span><span><span class="hljs-variable">$username</span></span><span> = </span><span><span class="hljs-string">'jane_doe'</span></span><span>; </span><span><span class="hljs-comment">// Valeur variable modifiée</span></span><span>
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">execute</span></span><span>(); </span><span><span class="hljs-comment">// 查询会utiliser jane_doe</span></span><span>
</span><span><span class="hljs-meta">?></span></span><span>
</span></span>Comme indiqué ci-dessus, BindValue utilise la valeur initiale réalisée, tandis que BindParam utilise la valeur modifiée.
Empêcher l'injection de SQL : les attaques d'injection SQL peuvent être effectivement évitées par les espaces réservés et les paramètres de liaison.
Exécutez la même requête plusieurs fois : lorsque vous devez exécuter la même requête plusieurs fois, des paramètres différents à chaque fois, l'utilisation de BindValue peut améliorer les performances et garder le code soigné.
Lisibilité et maintenabilité : l'utilisation de la liaison d'espace réservé et de paramètres peut rendre les instructions SQL plus claires, plus faciles à lire et à comprendre, en particulier dans les requêtes complexes.
Pdostatement :: bindValue est un outil très utile qui simplifie l'exécution des instructions SQL par des paramètres de liaison tout en améliorant la sécurité et la lisibilité du code. L'utiliser correctement peut aider les développeurs à éviter l'injection SQL et à garantir la fiabilité des requêtes de base de données. Lorsque vous traitez des interactions complexes de base de données, la maîtrise de l'utilisation de l'APD est une compétence incontournable pour chaque développeur PHP.
Étiquettes associées:
PDOStatement