Pripravljeni stavki (PREPARED STATEMENTS)

Pripravljeni stavki so standard za varno programiranje. V PDO namesto neposrednega vstavljanja vrednosti v SQL niz uporabimo poimenovane parametre (npr. :ime). S tem ločimo SQL logiko od podatkov, kar prepreči SQL injekcije.

PHP MySQLi

<?php
$streznik = "localhost";
$uporabnik = "root";
$geslo = "";
$baza = "pdo_baza";

try {
    $povezava = new PDO("mysql:host=$streznik;dbname=$baza", $uporabnik, $geslo);
    $povezava->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 1. Pripravimo SQL stavek s poimenovanimi parametri
    $stavek = $povezava->prepare("INSERT INTO uporabniki (ime, priimek, email) 
                                 VALUES (:ime, :priimek, :email)");

    // 2. Povežemo (vežemo) parametre s spremenljivkami
    $stavek->bindParam(':ime', $ime);
    $stavek->bindParam(':priimek', $priimek);
    $stavek->bindParam(':email', $email);

    // 3. Nastavimo vrednosti in izvedemo
    $ime = "Mirko";
    $priimek = "Pirc";
    $email = "mirko@example.com";
    $stavek->execute();

    echo "Novi uporabnik je bil varno vstavljen s pripravljenimi stavki!";
} catch (PDOException $e) {
    echo "Napaka: " . $e->getMessage();
}

$povezava = null;
?>

REZULTAT

OPOMBA: Ta simulator je namenjen izključno učenju osnovne sintakse PHP MySQLi. Za zagotavljanje hitrosti in varnosti simulator v ozadju izvaja vnaprej pripravljene SQL ukaze v nadzorovanem okolju. Če želite kodo spreminjati ali graditi lastne aplikacije, vam svetujemo, da to storite v svojem lokalnem razvojnem okolju (npr. XAMPP) na pravi bazi podatkov.

Postopek poteka v treh korakih: najprej stavek pripravimo (prepare), nato nanj vežemo spremenljivke (bindParam) in na koncu ukaz izvedemo (execute). Spodaj bomo v tabelo uporabniki varno dodali novega člana.

Poimenovani parametri (npr. :email) naredijo kodo bolj pregledno.
Metoda bindParam() poveže SQL parameter neposredno s PHP spremenljivko.
Isti pripravljen stavek lahko izvedemo večkrat z različnimi podatki, kar poveča hitrost.