Utiliser les requêtes préparées par PHP pour Postgres

C'est une question semblable à ce "Quand ne pas utiliser les requêtes Préparées?", mais avec le "comment faire" -partie et pour PostgreSQL.

Je sais que j'ai besoin de déclarations préparées à l'avance parce que j'en fais plus d'un appel à ma base de données pendant un script.

J'aimerais avoir des exemples concrets sur la phrase suivante

Regarder typecasting, de la validation et de la désinfection des variables et l'utilisation de PDO avec les requêtes préparées.

Je sais ce qu'il veux dire par la validation et de la désinfection des variables. Cependant, je ne suis pas complètement sûr de déclarations préparées à l'avance. Comment pouvons-nous préparer les états de compte? Par les filtres, c'est par la désinfection? Ou par certains AOP couche? Quelle est la définition de la couche?

Ce n'préparé énoncés dans la déclaration? S'il vous plaît, utiliser des exemples concrets.

Merci pour vos réponses!

OriginalL'auteur Léo Léopold Hertz 준영 | 2009-08-07

5

De quoi faire des déclarations préparées dire dans
la déclaration?

De la la documentation:

Cette fonction permet de commandes qui seront utilisées à plusieurs reprises pour être analysé et prévu juste une fois, plutôt que chaque fois qu'ils sont exécutés.

Voir pg_prepare

Exemple à partir de la page liée ci-dessus:
```
<?php
//Connect to a database named "mary"
$dbconn = pg_connect("dbname=mary");

//Prepare a query for execution
$result = pg_prepare($dbconn, "my_query", 'SELECT * FROM shops WHERE name = $1');

//Execute the prepared query.  Note that it is not necessary to escape
//the string "Joe's Widgets" in any way
$result = pg_execute($dbconn, "my_query", array("Joe's Widgets"));

//Execute the same prepared query, this time with a different parameter
$result = pg_execute($dbconn, "my_query", array("Clothes Clothes Clothes"));
?>
```
La Documentation de MySQL pour les Instructions Préparées bien des réponses aux questions suivantes:
- Pourquoi utiliser des requêtes préparées?
- Quand devez-vous utiliser préparé
  déclarations?
Vos exemples ont la même fonctionnalité que le Robot? Ils sont beaucoup plus clair pour moi que du Robot. Il semble utiliser beaucoup de tableaux qui les rendent difficile à lire pour moi.
les exemples que j'ai fournis sont de la pg_prepare page de doc. Ils sont plus faciles à suivre, mais je dirais @Verre du Robot exemples sont plus du monde réel (par exemple, nommé marqueurs). Je suggère que vous obtenez vos mains sales ASAP. Il n'y a pas un exemple pour les gouverner tous".
Votre réponse n'utilise pas PDO. Cela me suggère que vous pouvez utiliser les requêtes préparées sans AOP. AOP semble offrir de la base de données de l'indépendance.
Il semble que pg_query = pg_prepare + pg_pg_execution - ability_to_run_a_list_vars_to_a_statement.
S'il vous plaît, voir ma réponse à votre réponse ci-dessus ou dans le stackoverflow.com/questions/1247373/...

OriginalL'auteur karim79
6

Cela signifie qu'il va vous aider à prévenir les attaques par injection SQL en éliminant le besoin d'manuellement citer les paramètres.

Au lieu de placer une variable dans le sql vous utilisez un nom ou un point d'interrogation marqueur pour quelles valeurs réelles seront remplacées lorsque l'instruction est exécutée.

Définition de AOP du manuel PHP:

"Le PHP Data Objects (PDO) extension définit un poids léger, interface cohérente pour l'accès aux bases de données en PHP.'

Voir le manuel php sur AOP et PDO::prepare.

Un exemple d'une requête préparée avec nommée marqueurs:
```
<?php
$pdo = new PDO('pgsql:dbname=example;user=me;password=pass;host=localhost;port=5432');

$sql = "SELECT username, password
FROM users
WHERE username = :username
AND password = :pass";

$sth = $pdo->prepare($sql);
$sth->execute(array(':username' => $_POST['username'], ':pass' => $_POST['password']));
$result = $sth->fetchAll();
```
Un exemple d'une requête préparée avec un point d'interrogation marqueurs:
```
<?php
$pdo = new PDO('pgsql:dbname=example;user=me;password=pass;host=localhost;port=5432');

$sql = "SELECT username, password
FROM users
WHERE username = ?
AND password = ?";

$sth = $pdo->prepare($sql);
$sth->execute(array($_POST['username'], $_POST['password']));
$result = $sth->fetchAll();
```
Vos commandes semblent sélectionnez les colonnes nom d'utilisateur et le mot de passe à partir de la table des utilisateurs lorsque, par exemple, le nom d'utilisateur=un et mot de passe=un. Cela me suggère que le code n'est pas pratique dans la vie réelle, car il est inutile de sélectionner les deux colonnes de noms quand vous les connaissez déjà. Toutefois, si vous sélectionnez la troisième colonne, selon les deux, alors votre chemin semble fonctionner. Il semble que l'utilisateur entrées sont traitées de telle manière qu'une défaillance ou d'un accident dans l'exécution des requêtes avec l'entrée de l'utilisateur ne change pas les données d'origine, donc pas d'injection SQL: par exemple, cesser de s'échoue dans la préparation de...

OriginalL'auteur Glass Robot

Comment pouvons-nous préparer les états financiers:

Vous définissez une requête qu'une seule fois, et pouvez l'appeler aussi souvent que vous le souhaitez avec des valeurs différentes. (eg. dans une boucle)

$result = pg_prepare($dbconn, "my_query", 'SELECT * FROM shops WHERE name = $1');
$result = pg_execute($dbconn, "my_query", array("Joe's Widgets"));
$result = pg_execute($dbconn, "my_query", array("row two"));
$result = pg_execute($dbconn, "my_query", array("row three"));

voir: http://us2.php.net/manual/en/function.pg-execute.php

OriginalL'auteur Rufinus

0

Répondre à Karim79 la réponse de

Ce
```
$result = pg_prepare($dbconn, "query1", 'SELECT passhash_md5 FROM users WHERE email = $1');
```
semble être le même que celui de la
```
$result = pg_prepare($dbconn, "query1", 'SELECT passhash_md5 FROM users WHERE email = ?');
```
Conclusion: l'utilisation de pg_prepare et pg_execute rend PHP beaucoup plus efficace, puisque vous n'avez pas besoin d'envisager de désinfection. Il vous aide également dans l'utilisation de l'AOP.

OriginalL'auteur Léo Léopold Hertz 준영

Vous devez vous connecter pour publier un commentaire.