Die Verwendung von vorbereiteten Anweisungen, die von PHP für Postgres

Dies ist eine ähnliche Frage zu diesem "Wenn Sie nicht zur Verwendung von Vorbereiteten Anweisungen?", aber mit dem "how-to" -Teil und für PostgreSQL.

Ich weiß, dass ich brauche Anweisungen vorbereitet, weil ich mehr als ein Aufruf an meine Datenbank während einer Skript.

Hätte ich gerne konkrete Beispiele über die folgenden Satz

Blick auf typecasting, zu validieren und zu bereinigen Variablen und Verwendung von PDO mit prepared statements.

Ich wissen, was er damit meine validieren und zu bereinigen Variablen. Allerdings bin ich mir nicht ganz sicher über prepared statements. Wie bereiten wir Aussagen? Durch Filter, die durch Filterung? Oder durch ein PDO-Schicht? Was ist die definition der layer?

Was prepared statements meine, in der Aussage? Bitte, verwenden Sie konkrete Beispiele.

Danke für Eure Antworten!

InformationsquelleAutor Léo Léopold Hertz 준영 | 2009-08-07

5

Was prepared statements bedeuten
die Anweisung?

Aus der Dokumentation:

Diese Funktion ermöglicht es Befehle, die wiederholt verwendet werden, um analysiert zu werden und geplant nur einmal, anstatt jedes mal, wenn Sie ausgeführt werden.

Sehen pg_prepare

Beispiel aus der oben verlinkten Seite:
```
<?php
//Connect to a database named "mary"
$dbconn = pg_connect("dbname=mary");

//Prepare a query for execution
$result = pg_prepare($dbconn, "my_query", 'SELECT * FROM shops WHERE name = $1');

//Execute the prepared query.  Note that it is not necessary to escape
//the string "Joe's Widgets" in any way
$result = pg_execute($dbconn, "my_query", array("Joe's Widgets"));

//Execute the same prepared query, this time with a different parameter
$result = pg_execute($dbconn, "my_query", array("Clothes Clothes Clothes"));
?>
```
Den Die MySQL-Dokumentation für Anweisungen Vorbereitet schön beantwortet die folgenden Fragen:
- Warum die Verwendung von prepared statements?
- Wann sollten Sie die Verwendung vorbereitet
  Aussagen?
- Tun Sie Ihre Beispiele haben die gleiche Funktionalität wie Roboter? Sie sind viel deutlicher zu mir als der Roboter ist. Er scheint eine Menge von arrays, die machen Ihnen schwer zu Lesen für mich.
- die Beispiele, die ich zur Verfügung gestellt sind, von der pg_prepare doc-Seite. Sie sind einfacher zu Folgen, aber ich würde sagen, @Glas Roboter die Beispiele sind mehr real-Welt (zum Beispiel named Marker). Ich schlage vor, Sie bekommen Ihre Hände schmutzig, so bald wie möglich. Es gibt keine 'ein Beispiel, Sie alle zu beherrschen'.
- Deine Antwort verwenden, die nicht mit PDO. Dies suggeriert mir, dass Sie können verwenden Sie vorbereitete Anweisungen ohne PDO. PDO scheint zu bieten Datenbank-Unabhängigkeit nur.
- Es scheint, dass pg_query = pg_prepare + pg_pg_execution - ability_to_run_a_list_vars_to_a_statement.
- Bitte, siehe meine Antwort auf deine Antwort über oder unter stackoverflow.com/questions/1247373/...
InformationsquelleAutor karim79
6

Bedeutet es, es wird Ihnen helfen, verhindern, dass SQL-injection-Angriffe, indem die Notwendigkeit, manuell zu zitieren, die Parameter.

Statt eine variable in der sql-Verwendung eines namens-oder Fragezeichen marker für die echten Werte ersetzt werden, wenn die Anweisung ausgeführt wird.

Definition von PDO aus dem PHP-manual:

'Die PHP Data Objects (PDO) Erweiterung definiert, die eine leichte, konsistente Schnittstelle für den Zugriff auf Datenbanken in PHP.'

Finden Sie im php-Handbuch auf PDO und PDO::prepare.

Ein Beispiel für ein prepared statement mit benannten Marker:
```
<?php
$pdo = new PDO('pgsql:dbname=example;user=me;password=pass;host=localhost;port=5432');

$sql = "SELECT username, password
FROM users
WHERE username = :username
AND password = :pass";

$sth = $pdo->prepare($sql);
$sth->execute(array(':username' => $_POST['username'], ':pass' => $_POST['password']));
$result = $sth->fetchAll();
```
Ein Beispiel für ein prepared statement mit Fragezeichen-Marker:
```
<?php
$pdo = new PDO('pgsql:dbname=example;user=me;password=pass;host=localhost;port=5432');

$sql = "SELECT username, password
FROM users
WHERE username = ?
AND password = ?";

$sth = $pdo->prepare($sql);
$sth->execute(array($_POST['username'], $_POST['password']));
$result = $sth->fetchAll();
```
- Ihre Befehle scheinen die Spalten auswählen, die Benutzername und Passwort aus der Tabelle die Benutzer, wenn Sie zum Beispiel Benutzername=a und password=ein. Dies suggeriert mir, dass der code nicht praktisch, im wirklichen Leben, da ist es nicht sinnvoll, bei der Auswahl der zwei-Spalte-Namen, wenn du Sie bereits kennst. Allerdings, wenn Sie wählen Sie die Dritte Spalte nach den beiden, dann ist dein Weg scheint zu funktionieren. Es scheint, dass die Benutzer-Eingaben verarbeitet werden, so dass ein Fehler/Unfall in der Ausführung der Abfragen mit Benutzereingaben ändert nicht die ursprünglichen Daten, so dass keine SQL-injection: für die Instanz stoppen, wenn nicht in der Vorbereitung...
InformationsquelleAutor Glass Robot

Wie können wir prepare-Anweisungen:

Definieren Sie eine Abfrage einmal, und bezeichnet Sie so oft, wie Sie mit verschiedenen Werten. (zB. in einer Schleife)

$result = pg_prepare($dbconn, "my_query", 'SELECT * FROM shops WHERE name = $1');
$result = pg_execute($dbconn, "my_query", array("Joe's Widgets"));
$result = pg_execute($dbconn, "my_query", array("row two"));
$result = pg_execute($dbconn, "my_query", array("row three"));

finden Sie unter: http://us2.php.net/manual/en/function.pg-execute.php

InformationsquelleAutor Rufinus

0

Antwort auf Karim79 Antwort

Diese
```
$result = pg_prepare($dbconn, "query1", 'SELECT passhash_md5 FROM users WHERE email = $1');
```
scheint das gleiche zu sein wie dieser
```
$result = pg_prepare($dbconn, "query1", 'SELECT passhash_md5 FROM users WHERE email = ?');
```
Fazit: die Verwendung von pg_prepare und pg_execute macht PHP viel effizienter, da Sie nicht brauchen, um Bedenken bereinigen. Es hilft auch, Sie in der Verwendung von PDO.

InformationsquelleAutor Léo Léopold Hertz 준영

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.