PHP MySQL připravené příkazy
Připravené příkazy jsou velmi užitečné proti injekcím SQL.
Připravené výpisy a vázané parametry
Připravený příkaz je funkce používaná k opakovanému provádění stejných (nebo podobných) příkazů SQL s vysokou účinností.
Připravená prohlášení fungují v zásadě takto:
- Připravit: Vytvoří se šablona příkazu SQL a odešle se do databáze. Některé hodnoty jsou ponechány nespecifikované, nazývají se parametry (označené "?"). Příklad: INSERT INTO MyGuests VALUES(?, ?, ?)
- Databáze analyzuje, zkompiluje a provede optimalizaci dotazu na šabloně příkazu SQL a uloží výsledek, aniž by jej provedla.
- Provést: Později aplikace sváže hodnoty s parametry a databáze provede příkaz. Aplikace může provést příkaz tolikrát, kolikrát chce, s různými hodnotami
Ve srovnání s přímým prováděním příkazů SQL mají připravené příkazy tři hlavní výhody:
- Připravené příkazy zkracují čas analýzy, protože příprava na dotaz se provádí pouze jednou (ačkoli příkaz je prováděn vícekrát)
- Vázané parametry minimalizují šířku pásma na server, protože pokaždé potřebujete odeslat pouze parametry, nikoli celý dotaz
- Připravené příkazy jsou velmi užitečné proti injekcím SQL, protože hodnoty parametrů, které jsou přenášeny později pomocí jiného protokolu, nemusí být správně escapovány. Pokud původní šablona příkazu není odvozena z externího vstupu, nemůže dojít k vložení SQL.
Připravené výpisy v MySQLi
Následující příklad používá připravené příkazy a vázané parametry v MySQLi:
Příklad (MySQLi s připravenými příkazy)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);
// Check connection
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();
echo "New records created successfully";
$stmt->close();
$conn->close();
?>
Řádky kódu k vysvětlení z výše uvedeného příkladu:
"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"
V našem SQL vkládáme otazník (?) tam, kde chceme dosadit v hodnotě celého čísla, řetězce, double nebo blob.
Pak se podívejte na funkci bind_param():
$stmt->bind_param("sss", $firstname, $lastname, $email);
Tato funkce spojí parametry s SQL dotazem a sdělí databázi, jaké jsou parametry. Argument "sss" uvádí typy dat, kterými jsou parametry. Znak s říká mysql, že parametr je řetězec.
Argument může být jeden ze čtyř typů:
- i - celé číslo
- d - dvojitý
- s - řetězec
- b - BLOB
Pro každý parametr musíme mít jednu z nich.
Tím, že mysql řekneme, jaký typ dat má očekávat, minimalizujeme riziko injekcí SQL.
Poznámka: Pokud chceme vložit data z externích zdrojů (např. uživatelský vstup), je velmi důležité, aby byla data dezinfikována a ověřena.
Připravené výpisy v CHOP
Následující příklad používá připravené příkazy a vázané parametry v PDO:
Příklad (CHOP s připravenými výpisy)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// set the PDO error mode to exception
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// prepare sql and bind parameters
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// insert a row
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();
// insert another row
$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();
// insert another row
$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();
echo "New records created successfully";
} catch(PDOException $e)
{
echo "Error: " . $e->getMessage();
}
$conn = null;
?>