PHP Istruzioni DOP preparate

Question

Oggi mi è stato detto che dovrei davvero usare PDO e istruzioni preparate nella mia applicazione. Mentre capisco i vantaggi, sto cercando di capire come li implemento nel mio flusso di lavoro. A parte il fatto che rende il codice molto più pulito, dovrei avere una specifica classe di database che contiene tutte le mie istruzioni preparate o dovrei crearne una ogni volta che voglio eseguire una query? Sto trovando molto difficile capire quando dovrei usare una query PDO standard e quando dovrei usare una dichiarazione preparata. Eventuali esempi, suggerimenti o collegamenti tutorial sarebbero molto apprezzati.

Answer 1

Ci sono due grandi esempi sulla documentazione pdo::prepare().

li ho incluso qui e semplificato un po '.

Questo si usa ? parametri. $dbh è fondamentalmente un oggetto PDO. E quello che stai facendo è mettere i valori 150 e 'red' rispettivamente nel primo e secondo punto interrogativo.

/* Execute a prepared statement by passing an array of values */ 
$sth = $dbh->prepare('SELECT name, colour, calories 
         FROM fruit 
         WHERE calories < ? AND colour = ?'); 

$sth->execute(array(150, 'red')); 

$red = $sth->fetchAll(); 

Questo utilizza parametri denominati ed è un po 'più complesso.

/* Execute a prepared statement by passing an array of values */ 
$sql = 'SELECT name, colour, calories 
     FROM fruit 
     WHERE calories < :calories AND colour = :colour'; 

$sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY)); 
$sth->execute(array(':calories' => 150, ':colour' => 'red')); 

$red = $sth->fetchAll();