pdo Melhorar classe genérica CRUD

[AndersonWS 10]

Galera estou aprendendo então minha classe ainda tem muito a melhorar por isso peço ajuda, dicas e orientações para melhoria da classe.

O que eu fiz funciona mas preciso melhorar. Umas das coisa que eu gostaria seria usar o bindParam ou algo para evitar o SQL Injection.

Segue o que eu consegui fazer:

public function update($tableName, array $data, $cond, array $condParams) 
	{
		$set = array();
		foreach(array_combine($condParams, $data) AS $v1 => $v2) {
			$set[] = $v1 . ' = '.$v2;
		}

		$sql = 'UPDATE ' . $tableName. ' SET ' . join(', ', $set). ' WHERE '. $cond;

		$this->sql = $sql;
		// consulta que retorna
		$query = $this->db->prepare($this->sql); 
		$query->execute();
		
	}

Sugestões?

[EdCesar 124]

Segue uma ideia:

    public function update()
    {
        $updateSets = '';
	
       /**
        * fieldsValues é um array associativo qualquer, 
        * Ex: ['nome' => 'joao', 'idade' => 10];
        */
        foreach ($this->fieldsValues as $field => $value) {
            $updateSets .= sprintf('%s = :%s,', $field, $field);
        }

        $updateSets = substr($updateSets, 0, -1);
    
        $sql = sprintf(
                    "update %s set %s where id = %s", 
                    $this->table, $updateSets, $this->id
                );

        $this->stmt = $this->conn->prepare($sql);
        $this->stmt->execute($this->fieldsValues);
    }

 

[quimera 13]

na vdd não existe formula mágica, cada um tem uma maneira de fazer, mas, neste seu caso ainda falta retorno para uma resposta nas classes que vão se estender/receber/enviar os dados.

Cada função do Mysql você faz um método e retorna o resultado (true, false, erro (com possibilidade de callback)), e f**a-se pra quem achar ruim.

 

[AndersonWS 10]

1 hora atrás, EdCesar disse:

Segue uma ideia:

Na verdade não entendi muito. Isto que você fez torna mais seguro contra SQL Injection por exemplo?

[AndersonWS 10]

Mais uma dúvida.
Antes eu usava assim:

$nome	= trim($_POST['nome']);
$nome 	= mysql_real_escape_string($nome);

Agora li que teria que usar assim:

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);

Como adaptar isso a minha classe genérica?

[EdCesar 124]

 

Na minha sugestão, "compilando", ficaria assim:
 

$data = [
    'nome' => 'joao',
    'idade' => 10,
];

$stmt = $conn->prepare('update alunos set nome = :nome, idade = :idade where id = 3');
$stmt->execute($data);

Geraria o código acima de forma automatizada, e tratando de forma eficaz (não definitiva) contra SQL Injection. Todos os valores serão tratados com PDO::PARAM_STR
 

 

[Gabriel Heming 766]

Antes de se proteger contra SQL Injection, precisa entender o que é e como funciona. Leia no site https://phpdelusions.net/ aonde existe o artigo mais completo que já li.

[AndersonWS 10]

2 horas atrás, Gabriel Heming disse:

Antes de se proteger contra SQL Injection, precisa entender o que é e como funciona. Leia no site https://phpdelusions.net/ aonde existe o artigo mais completo que já li.

 

Olhei a documentação e fiz assim:

public function inserir($tabela, array $data, array $allowed, $where) {
		try {
			
			$values = []; 
			$set = "" ; 
			foreach ( $allowed as $field ) 
			{ 
				if (isset( $data [ $field ])) 
				{ 
					$set .= "`" . str_replace ( "`" , "``" , $field ). "`" . "=:$field , " ; 
					$values [ $field ] = $data [ $field ]; 
				} 
			} 
			$set = substr ( $set , 0 , - 2 );  
			
			//$query = $this->db->prepare ( "INSERT INTO " .$tabela. " SET $set " .$where. "" ); 
			$query = $this->db->prepare("UPDATE " .$tabela. " SET $set " .$where. "" ); 
			$query -> execute ( $values ); 
					
		} catch (PDOException $e) {
			echo "Ocorreu um erro: " .$e->getMessage();
		}
	}

O que acham? Está correta? E quanto a segurança da query?
 

 

 

[quimera 13]

Se os dados estão sendo tratados no PHP acho que não precisa se preocupar com segurança no javascript