Publicado em 7 de mar.

PDO Statement

#php #perguntas-e-respostas-rapidas #pdo

Olá, estou aprendendo PDO e gostaria de saber algumas informações sobre ele:

-
Quando eu estou usando para fazer uma consulta eu devo usar sempre o try e catch, por exemplo em todas páginas com consultas SQL?

-
No código abaixo:

$searchSQL = $pdo->prepare('SELECT email,senha FROM tbl_usuario WHERE email = ?');
$searchSQL->execute(array($email));
$linha = $searchSQL->fetch(PDO::FETCH_ASSOC);

 Eu devo inserir a seguinte linha, ou não tem nada a ver com esse tipo de programação:

$buscaSQL->bindValue(1, $email, PDO::PARAM_STR); // Seria algo assim?

Ou eu somente insiro a linha acima se for assim:

$buscaSQL = $pdo->prepare('SELECT email FROM tbl_usuario WHERE email = :email');
$buscaSQL->bindValue(:email, $email, PDO::PARAM_STR);
$buscaSQL->execute(array($email));

	      3. Qual dos dois tipos é mais profissional, o com ?,? ou :campo,:id

	      4. No segundo  tópico, quando eu for fazer o execute eu sempre preciso passar as variáveis ou posso só colocar $SQL->execute()

	      5. Alguém me explica de um jeito bem fácil a diferença entre BindValue e BindParam(eu li que se difere somente que o Value, seria como se passasse a variável direto no banco, no caso na hora do execute, então eu posso digitar 100 vezes outro valor e o valor vai ser sempre o 1° e Param não, ele muda se você atribuir outro valor, talvez por isso que seja Value(duh)).

	 

	Agradeço a todos que ajudarem

Discussão (1)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

srmacedo· 12 de mar.

Bom dia,

O PDO Statement, serve justamente para auxiliar na prevenção contra SQL INJECTION.

Desde que você não execute-o dessa forma:

$searchSQL = $pdo->prepare('
SELECT email, senha
FROM tbl_usuario

WHERE email = '.$_GET["email"]
);

$searchSQL->execute());

	 

	 

	Ou seja, não adianta você usar PDO Statement e não tratar os valores. É aconselhado que você sempre trate os valores antes de executar a query.

$searchSQL = $pdo->prepare('
SELECT email, senha
FROM tbl_usuario

WHERE email = :email'
);

$searchSQL->bindValue(":email", $email);
$searchSQL->execute();

Citar

-
Quando eu estou usando para fazer uma consulta eu devo usar sempre o try e catch, por exemplo em todas páginas com consultas SQL?

Sim. Você manda primeiro ele tentar fazer a ação ao banco de dados, caso o mesmo não consiga ele dispara uma exceção para indicar a falha.

Em 07/03/2017 at 11:19, Saul da Silva Rolim disse:

4. No segundo tópico, quando eu for fazer o execute eu sempre preciso passar as variáveis ou posso só colocar $SQL->execute()

Como eu disse, acima... Você precisa fazer o tratamento dos valores, antes de mandar executar.

Em 07/03/2017 at 11:19, Saul da Silva Rolim disse:

5. Alguém me explica de um jeito bem fácil a diferença entre BindValue e BindParam(eu li que se difere somente que o Value, seria como se passasse a variável direto no banco, no caso na hora do execute, então eu posso digitar 100 vezes outro valor e o valor vai ser sempre o 1° e Param não, ele muda se você atribuir outro valor, talvez por isso que seja Value(duh)).

O bindParam executa por referencia e já o bindValue por valor direto, por exemplo:

$cargo = "Admin";

$pdo->prepare("
INSERT INTO
ranking (cargo)
values (:cargo)

");

$pdo->bindParam(":cargo", $cargo);
$cargo = "Membro";

$pdo->execute() // O cargo inserido vai ser Membro.

.........
........
........
.........

$cargo = "Admin";

$pdo->prepare("
INSERT INTO
ranking (cargo)
values (:cargo)

");

$pdo->bindValue(":cargo", $cargo);
$cargo = "Membro";

$pdo->execute() // O cargo inserido vai ser Admin.