Bonjour,
J'ai un peu de mal a comprendre la différence entre les différentes méthodes pour faire une requête préparé.
Lorsque l'on appelle notre fonction prepare(), les noms des champs que nous souhaitons "préparé" doivent être indiqué par un point d'interrogation ? ou par des marqueurs du genre "SELECT * FROM ma_table WHERE champ = :champ", je ne comprend pas quelle est la différence entre les 2, quelle est la meilleure façon de faire ? et est-ce obligatoire d'utiliser la méthode bindValue() ou peut ont passer directement un array dans la méthode execute ?
Merci d'avance...
la communauté d'entraide francophone dédiée au PHP
PDO requete préparé
Les marqueurs sont mieux que les "?". Le problème des "?" c'est qu'il faut ensuite que tu assignes les paramètres dans le même ordre que celui des "?" de la requête. Donc c'est nul, ce n'est pas clair et puis à la moindre modification de la requête tu devras réordonner tes paramètres.
Exemple typique de requête préparée :
Exemple typique de requête préparée :
$stmt = $pdo->prepare('SELECT * FROM table WHERE id = :id');
$stmt->execute([
':id' => 42,
]);
foreach ($stmt->fetchAll() as $row)
{
var_dump($row);
}Salut Genova,
Ce post se recoupe avec le mien : mysqli > pdo ?
La version non protégée serait select * from table where id = 42 ?
Dans ton exemple les injections sont impossibles ? Un marqueur peut se déclarer et s'appeler dans n'importe quel ordre ? toujours avec : obligatoire ?
Merci de ton aide
Fée
Ce post se recoupe avec le mien : mysqli > pdo ?
La version non protégée serait select * from table where id = 42 ?
Dans ton exemple les injections sont impossibles ? Un marqueur peut se déclarer et s'appeler dans n'importe quel ordre ? toujours avec : obligatoire ?
Merci de ton aide
Fée
Dis-donc fossoyeur, t'as une dent contre moi ou quoi ?
La version non protégée c'est de faire quelque chose comme ça :
En fait le but des requêtes préparées à la base n'est pas lié à la sécurité. L'intérêt de ces requêtes c'est que c'est un tout petit plus performant si tu utilises plusieurs fois de suite la même requête, en changeant simplement le paramètre.
Le côté sécurisé est un petit plus dont on aurait tort de se priver. Il n'y a pas d'injection SQL possible en utilisant les paramètres.
Les paramètres nommés du genre :nomDuParametre ont l'intérêt comme leur nom l'indique d'être nommé, donc ensuite il te suffit de faire ça :
$pdo->prepare('SELECT * FROM table WHERE id = '.$_GET['id']);En fait le but des requêtes préparées à la base n'est pas lié à la sécurité. L'intérêt de ces requêtes c'est que c'est un tout petit plus performant si tu utilises plusieurs fois de suite la même requête, en changeant simplement le paramètre.
Le côté sécurisé est un petit plus dont on aurait tort de se priver. Il n'y a pas d'injection SQL possible en utilisant les paramètres.
Les paramètres nommés du genre :nomDuParametre ont l'intérêt comme leur nom l'indique d'être nommé, donc ensuite il te suffit de faire ça :
$stmt->execute([
':nomDuParametre' => 42,
]);