PHP Prepared Statement
Summary: in this tutorial, you will learn about the PHP prepared statements in PDO and how to use them effectively.
Introduction to PHP prepared statements
A prepared statement is a template for executing one or more SQL statements with different values. A prepared statement is highly efficient and helps protect the application against SQL injections.
When a database server executes a query, it goes through two main stages: preparation and execution.
- Preparation – the database server checks the syntax of the SQL statement and initializes internal server resources for the execution stage.
- Execution – the application binds the values and sends the SQL statement to the database server. The database server executes the statement with the bound values using the internal server resource allocated in the preparation stage.
Constructing a prepared statement in PDO
To construct a prepared statement in PDO, you follow these steps:
First, create a template SQL statement. For example:
$sql = 'insert into authors(first_name, last_name) values(. )';Code language: PHP (php)This INSERT statement has two question marks ( ? ). They are called positional placeholders.
When executing the statement, you need to pass values to the placeholders by their positions. In other words, you need to pass the first name to the first placeholder and the last name to the second placeholder
Second, call the prepare() method of a PDO instance:
$statement = $pdo->prepare($sql);Code language: PHP (php)The prepare() method returns a new instance of the PDOStatement class.
Third, call the execute() method and pass the values to the placeholders:
$statement->execute(['Sandra', 'Aamodt']);Code language: PHP (php)The execute() method will substitute the first placeholder by ‘Sandra’ and the second one by ‘Aamodt’ in the insert statement.
The following shows how to use the prepared statement to insert a new row into the authors table:
$pdo = require 'connect.php'; $sql = 'insert into authors(first_name, last_name) values(. )'; $statement = $pdo->prepare($sql); $statement->execute(['Sandra', 'Aamodt']);Code language: HTML, XML (xml)Using named placeholders
When you use the positional placeholders in an SQL statement, you need to pass values that correspond to the positions of the placeholders.
If an SQL statement has many placeholders, it’s quite easy to use the wrong positions. To avoid this, you can use the named placeholders instead. For example:
$sql = 'insert into authors(first_name, last_name) values(:first_name,:last_name)';Code language: PHP (php)In this example, instead of using the question marks ( ? ), you use the parameter name prefixed by a colon ( : ). The colon is required in the SQL statement.
When executing the statement, you need to pass an associative array to the execute() method like this:
$statement->execute([ 'first_name' => 'Henry', 'last_name' => 'Aaron' ]);Code language: PHP (php)Note that the key of the array is important, not the order of elements. Also, you can optionally use the : in the keys of the array:
$statement->execute([ ':first_name' => 'Henry', ':last_name' => 'Aaron' ]);Code language: PHP (php)The order of the array element is not important so you can use an array with elements in any order. For example:
$statement->execute([ 'last_name' => 'Aaron', 'first_name' => 'Henry', ]);Code language: PHP (php) $pdo = require 'connect.php'; $sql = 'insert into authors(first_name, last_name) values(:first_name,:last_name)'; $statement = $pdo->prepare($sql); $statement->execute([ 'last_name' => 'Aaron', 'first_name' => 'Henry', ]);Code language: HTML, XML (xml)Bound values
In the above examples, we pass the values to the execute() method to run the query. These statements are called unbound statements.
Besides the unbound statements, PDO also supports bound statements. The bound statements allow you to explicitly bind a value or a variable to a named or positional placeholder.
To bind a value, you use the bindValue() method of the PDOStatement object:
public PDOStatement::bindValue ( mixed $parameter , mixed $value , int $data_type = PDO::PARAM_STR ) : boolCode language: PHP (php)The bindValue() method has three parameters:
- $parameter specifies the parameter name :parameter if the statement uses the named placeholders or index of the parameter if the statement uses positional placeholders. In case you use the positional placeholder, the first parameter starts with the index 1.
- $value specifies the value to bind to the parameter.
- $data_type specifies the data type for the parameter using the PDO::PARAM_* e.g., PDO::PARAM_INT . By default, the $data_type is PDO::PARAM_STR .
The following example shows how to insert the author Nick Abadzis into the authors table using a bound statement:
$pdo = require 'connect.php'; $sql = 'insert into authors(first_name, last_name) values(. )'; $statement = $pdo->prepare($sql); $statement->bindValue(':first_name', 'Nick'); $statement->bindValue(':last_name', 'Abadzis'); $statement->execute();Code language: HTML, XML (xml)When you use the bindValue() method, the execute() method executes the statement with the values passed to the bindValue() method, not the values at the time the execute() method runs. For example:
$pdo = require 'connect.php'; $sql = 'insert into authors(first_name, last_name) values(:first_name,:last_name)'; $statement = $pdo->prepare($sql); $author = [ 'first_name' => 'Chris', 'last_name' => 'Abani', ]; $statement->bindValue(':first_name', $author['first_name']); $statement->bindValue(':last_name', $author['last_name']); // change the author variable $author['first_name'] = 'Tom'; $author['last_name'] = 'Abate'; // execute the query with value Chris Abani $statement->execute();Code language: HTML, XML (xml)- First, bind the value ‘Chris’ and ‘Abate’ to the first name and last name parameters.
- Second, change the values of the variable $author .
- Third, execute the query. However, the execute() method uses the values passed to the bindValue() method, not the $author value at the time the execute() method runs.
This is why the bindParam() method comes into play.
The bindParam() method
To execute a statement whose values of the parameters are evaluated at the time the execute() method runs, you use the bindParam() method:
public PDOStatement::bindParam ( mixed $parameter , mixed &$variable , int $data_type = PDO::PARAM_STR , int $length = ? , mixed $driver_options = ? ) : boolCode language: PHP (php)The following example illustrates how to use the bindParam() method to insert a new author into the authors table:
$pdo = require 'connect.php'; $sql = 'insert into authors(first_name, last_name) values(:first_name,:last_name)'; $statement = $pdo->prepare($sql); $author = [ 'first_name' => 'Chris', 'last_name' => 'Abani', ]; $statement->bindParam(':first_name', $author['first_name']); $statement->bindParam(':last_name', $author['last_name']); // change the author variable $author['first_name'] = 'Tom'; $author['last_name'] = 'Abate'; // execute the query with value Tom Abate $statement->execute();Code language: HTML, XML (xml)In this example, the execute() method evaluates the $author variable at the time of execution so that it uses ‘Tom’ and ‘Abage’ values instead.
Summary
- Use a PHP prepared statement to execute a query multiple times with different values.
- Use positional placeholders ( ? ) or named placeholders ( :parameter ) in the SQL statement before passing it the prepare() method of an PDOStatement object.
- Use the execute() method with values to run an unbound statement.
- Use bindValue() or bindParam() method to bind values to a bound statement.
Подготовленные запросы
Подготовленные запросы рекомендуется использовать вместо обычных запросов, потому что подготовленный запрос — это уже готовое, скомпилированное выражение к которому можно обращаться многократно просто передавая необходимые параметры.
Эти запросы работают намного быстрее и намного безопаснее , особенно, если в запросах используются условия с передаваемыми параметрами.
То есть, подготовленные запросы обеспечивают очень высокую безопасность от sql-инъекций.
Запрос на выборку данных :
Выбрать все из таблицы news , где id = 2 .
Обычно параметр id передается из вне, поэтому создадим переменную $id и в ней будем хранить передаваемые данные (в данном случае — 2).
Данный параметр мы получаем, например, из формы: формы авторизации, формы регистрации и т.д.
И, соответственно, этот параметр попадет в запрос ( id = ‘$id’ ).
С помощью стандартного метода query() выполняем запрос и распечатываем его на экран, используя метод fetchAll() .
$id = 2 ;
$sql = «SELECT id, title FROM news WHERE >$id ‘» ;
$result = $pdo -> query ( $sql );
print_r ( $result -> fetchAll ( PDO :: FETCH_ASSOC ));
После выполнения запроса получим:
Успешное подключение
Array ( [0] => Array ( [id] => 2 [title] => Новость 2 ) )
— все успешно работает, но данный код не безопасен .
Чтобы обеспечить безопасность от sql-инъекций будем использовать подготовленное выражение .
Неименованный плейсхолдер
Определив некий sql-запрос, в качестве параметра указываем метку — ? (вопросительный знак) — так называемый неименованный плэйсхолдер (placeholder — заполнитель).
Этим мы как бы указываем, что здесь должен быть указан некий параметр.
Затем данное выражение мы должны подготовить с помощью метода prepare() — то есть, указываем объекту PDO, что необходимо подготовить данное выражение.
Данный запрос будет скомпилирован, подготовлен и будет ждать своего выполнения
Далее, при необходимости, мы можем выполнять некий код, а в конце скрипта мы можем выполнить данный запрос.
Чтобы выполнить запрос обращаемся к объекту PDOStatement ($result) и вызываем на исполнение метод execute()
Метод execute() — выполняет подготовленное выражение .
В качестве параметра метода execute() передаем массив:
— в качестве первой ячейки мы используем переменную, которую заменил плэйсхолдер , в нашем случае — $id .
$id = 2 ;
$sql = «SELECT id, title FROM news WHERE >;
$result = $pdo -> prepare ( $sql );
// При необходимости, здесь мы можем выполнять некий код .
$result -> execute ( array ( $id ));
print_r ( $result -> fetchAll ( PDO :: FETCH_ASSOC ));
После выполнения запроса получим:
Успешное подключение
Array ( [0] => Array ( [id] => 2 [title] => Новость 2 ) )
— после выполнения запроса в браузере ни чего не изменилось.
Данный запрос уже безопасен и ему не страшны sql-инъекции.
Именованный плейсхолдер
Вместо неименованных плейсхолдеров (?) можно использовать именованные плейсхолдеры (например, для нашего случая — :id) — то есть, мы явно указываем имя данного параметра.
А это значит, что при вызове метода execute(), в качестве параметра, мы уже передаем ассоциативный массив.
В качестве ячейки которого указываем ключ ‘id’ , а в качестве значения данной ячейки указываем параметр $id :
.
$sql = «SELECT id, title FROM news WHERE >;
.
$result -> execute ( array ( ‘id’ => $id ));
или (альтернативная запись для массива):
$result -> execute ([ ‘id’ => $id ]);
.
Связывание параметра запроса с некой переменной .
Метод bindParam()
Метод bindParam() привязывает параметр запроса (плэйсхолдер) к определенной переменной .
Первым параметром он принимает имя плэйсхолдера ( ‘:id’ ), а в качестве второго параметра — переменную ( $id ), к значению которой ( 2 ) будет привязан данный плэйсхолдер.
В качестве третьего параметра указываем тип данных, который будет передаваться в данный плэйсхолдер, в нашем случае — PDO::PARAM_INT (целочисленный тип данных).
.
$result -> bindParam ( ‘:id’ , $id , PDO :: PARAM_INT );
$result -> execute ();
.
try <
$pdo = new PDO ( ‘mysql:host=localhost;dbname=test2’;charset=utf-8 , ‘root’ , » );
$pdo -> setAttribute ( PDO :: ATTR_ERRMODE , PDO :: ERRMODE_EXCEPTION );
echo «Успешное подключение
» ;
> catch exit ( ‘Ошибка подключения:
‘ . $e -> getMessage ());
>
——- Без использования плэйсхолдера ———
$id = 2 ;
$sql = «SELECT id, title FROM news WHERE >$id ‘» ;
$result = $pdo -> query ( $sql );
print_r ( $result -> fetchAll ( PDO :: FETCH_ASSOC ));
$id = 2 ;
$sql = «SELECT id, title FROM news WHERE >;
$result = $pdo -> prepare ( $sql );
// При необходимости, здесь мы можем выполнять некий код .
$result -> execute ( array ( $id ));
print_r ( $result -> fetchAll ( PDO :: FETCH_ASSOC ));
$id = 2 ;
$sql = «SELECT id, title FROM news WHERE >;
$result = $pdo -> prepare ( $sql );
// При необходимости, здесь мы можем выполнять некий код .
$result -> execute ( array ( ‘id’ => $id ));
print_r ( $result -> fetchAll ( PDO :: FETCH_ASSOC ));
$id = 2 ;
$sql = «SELECT id, title FROM news WHERE >;
$result = $pdo -> prepare ( $sql );
// При необходимости, здесь мы можем выполнять некий код .
$result -> bindParam ( ‘:id’ , $id , PDO :: PARAM_INT );
$result -> execute ();
print_r ( $result -> fetchAll ( PDO :: FETCH_ASSOC ));
> catch exit ( ‘Ошибка в запросе:
‘ . $e -> getMessage ());
>
?>
Во всех случаях получим:
Успешное подключение
Array ( [0] => Array ( [id] => 2 [title] => Новость 2 ) )