Viele ausgereiftere Datenbanken unterstützen das Konzept vorbereiteter Anweisungen.
Was sind vorbereitete Aussagen? Betrachten Sie es als eine kompilierte Vorlage des SQL, das Sie ausführen möchten, das mithilfe variabler Parameter angepasst werden kann. Vorbereitete Stellungnahmen können zwei große Vorteile bringen:
Eine Abfrage muss nur einmal geparst (oder vorverarbeitet) werden, kann aber mehrmals mit denselben oder unterschiedlichen Parametern ausgeführt werden. Wenn eine Abfrage bereit ist, analysiert, kompiliert und optimiert die Datenbank den Plan zur Ausführung der Abfrage. Dieser Vorgang dauert bei komplexen Abfragen länger und kann Ihre Anwendung erheblich verlangsamen, wenn dieselbe Abfrage mehrmals mit unterschiedlichen Parametern wiederholt werden muss. Durch die Verwendung vorbereiteter Anweisungen können Sie wiederholte Analyse-/Kompilierungs-/Optimierungszyklen vermeiden. Einfach ausgedrückt verbrauchen vorbereitete Anweisungen weniger Ressourcen und werden daher schneller ausgeführt.
Parameter, die für vorbereitete Anweisungen bereitgestellt werden, müssen nicht in Anführungszeichen gesetzt werden; der Treiber erledigt dies automatisch. Wenn Ihre Anwendung nur vorbereitete Anweisungen verwendet, können Sie sicher sein, dass keine SQL-Injection erfolgt. (Wenn jedoch andere Teile der Abfrage aus nicht maskierten Eingaben erstellt werden, besteht immer noch das Risiko einer SQL-Injection.)
Vorbereitete Anweisungen sind so nützlich, dass ihre einzige Funktion darin besteht, dass PDO die Verarbeitung simuliert, wenn der Treiber dies nicht unterstützt. Dadurch wird sichergestellt, dass Anwendungen dasselbe Datenzugriffsmuster verwenden können, unabhängig davon, ob die Datenbank über solche Funktionen verfügt.
Im folgenden Beispiel wird eine Einfügeabfrage ausgeführt, indem die entsprechenden benannten Platzhalter durch Namen und Werte ersetzt werden.
<?php$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");$stmt->bindParam(':name', $name);$stmt- >bindParam(':value', $value);//Eine Zeile einfügen $name = 'one';$value = 1;$stmt->execute();// Fügen Sie eine weitere Zeile mit unterschiedlichen Werten ein $name = 'two';$value = 2;$stmt->execute();?>Im folgenden Beispiel wird eine Einfügeabfrage ausgeführt, indem der Platzhalter „?“ durch einen Namen und einen Wert ersetzt wird.
<?php$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");$stmt->bindParam(1, $name);$stmt->bindParam(2, $value);//Eine Zeile einfügen $name = 'one';$value = 1;$stmt->execute();// Fügen Sie eine weitere Zeile mit unterschiedlichen Werten ein $name = 'two';$value = 2;$stmt->execute();?>Das folgende Beispiel ruft Daten basierend auf dem Schlüsselwert im bereitgestellten Formular ab. Benutzereingaben werden automatisch in Anführungszeichen gesetzt, sodass keine Gefahr von SQL-Injection-Angriffen besteht.
<?php$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");if ($stmt->execute(array($_GET['name']))) { while ($row = $stmt->fetch()) { print_r($row); }}?>Wenn der Datenbanktreiber dies unterstützt, kann die Anwendung auch Ausgabe- und Eingabeparameter binden. Ausgabeparameter werden häufig verwendet, um Werte aus gespeicherten Prozeduren zu erhalten. Ausgabeparameter sind etwas komplizierter zu verwenden als Eingabeparameter, da Sie beim Binden eines Ausgabeparameters die Länge des angegebenen Parameters kennen müssen. Wenn der an einen Parameter gebundene Wert größer als die empfohlene Länge ist, wird ein Fehler generiert.
<?php$stmt = $dbh->prepare("CALL sp_returns_string(?)");$stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); // Rufen Sie die gespeicherte Prozedur $stmt-> auf execute ();print "Prozedur hat $return_valuen zurückgegeben";?>Sie können auch Parameter angeben, die sowohl Eingabe- als auch Ausgabewerte haben, wobei die Syntax der von Ausgabeparametern ähnelt. Im nächsten Beispiel wird die Zeichenfolge „hello“ an die gespeicherte Prozedur übergeben, und wenn die gespeicherte Prozedur zurückkehrt, wird „hello“ durch den von der gespeicherten Prozedur zurückgegebenen Wert ersetzt.
<?php$stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");$value = 'hello';$stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000 ); // Rufen Sie die gespeicherte Prozedur auf $stmt->execute();print "prozedur zurückgegeben $valuen";?> <?php$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");$stmt->execute(array($_GET['name']));// Platzhaltersymbol muss im gesamten Wert verwendet werden $stmt = $dbh->prepare("SELECT * FROM REGISTRY wobei Name LIKE ?");$stmt->execute(array("%$_GET[name]%"));?>