dubbio PHP PDO

**Sbidiguda** · 17-07-2012, 18:00

Salve a tutti. Da un paio di giorni a questa parte stò cercando di orientarmi verso pdo per allontarmi dall'uso di MySqli (al momento uso una classe che mi gestisce tutte le interazioni col db) visti i limiti della libreria (se nasci per mysql muori in mysql quindi se cambia il db dell'applicazione devo riscrevere tutto). Diciamo che un po' alla volta fra prove e letture le nozioni mi stanno entrando in testa (almeno spero

) , ma un dubbio che non riesco a levarmi dalla testa è il seguente: come agisce pdo per la pulizia dei dati ingresso per evitare delle injection?
Con le librerie MySql/MySqli si hanno a disposizione delle funzioni standard tipo mysql_real_escape_string.....ma in pdo? Come si effettua? Il sistema di pulizia ed escape si fà esattamente come con le altre 2 librerie o ripulisce in automatico? Chi mi chiarisce questo dubbio?

**RoTeam** · 17-07-2012, 18:12

http://it2.php.net/manual/en/pdo.quote.php pdo usa un sistema di quotes per rendere sicure le stringhe

**Sbidiguda** · 17-07-2012, 18:18

Carino. Invece con i prepared statement tipo

Codice PHP:


$sql = "SELECT * FROM books WHERE title = ?";

$q = $conn->prepare($sql);

$q->execute(array($title));

non serve a niente il quote(), oppure si può infilare anche li?

**RoTeam** · 17-07-2012, 18:28

Sarebbe meglio usare bindValue o bindParam prima di eseguirlo

**Sbidiguda** · 17-07-2012, 18:32

Intendi usare dei placeholder tipo così?

Codice PHP:


$sql = "SELECT * FROM books WHERE title like :title AND author like :author ";

$q = $conn->prepare($sql);

q->execute(array(':author'=>$author,

           ':title'=>$title));

Altra parentesi per il quote(), usandolo si possono tralasciare i vari get_magic_quote, strip/addslashes etc etc?

**RoTeam** · 17-07-2012, 20:28

Originariamente inviato da Sbidiguda
Intendi usare dei placeholder tipo così?

Codice PHP:


$sql = "SELECT * FROM books WHERE title like :title AND author like :author ";

$q = $conn->prepare($sql);

q->execute(array(':author'=>$author,

           ':title'=>$title));

Altra parentesi per il quote(), usandolo si possono tralasciare i vari get_magic_quote, strip/addslashes etc etc?

Si, anche se i magic_quotes sarebbe sempre meglio averli disattivati non si sa mai

**oly1982** · 17-07-2012, 21:02

Ho affrontato l'argomento nel mio blog.

La questione è la seguente. Si può agire in due modi:
Il primo è un pò "old style" e prevede l'impiego del metodo PDO->quote()

Tuttavia all'interno del manuale ufficiale troverai scritto:

"...
you are strongly recommended to use PDO:

repare() to prepare SQL statements with bound parameters instead of using PDO::quote()
..."

Google traduttore

Ergo, se vuoi utilizzare in meniera fruttifera pdo devi formulare le query attraverso i cosiddetti prepared statements e i metodi bindParam e bindValue.

Se ti può interessare e i moderatori non lo ritengono spam ti linko l'articolo del mio blog in cui ne parlo:
http://www.miniscript.it/articoli/67..._le_query.html

**Sbidiguda** · 18-07-2012, 13:09

Niente male Oly, davvero, scrittura lineare e abbastanza semplice da comprendere. Ho recuperato l'argomento dalla prima parte (connessioni), credo mi sarà molto utile. Grazie mille e a buon rendere.

Discussione: dubbio PHP PDO

Strumenti discussione

Ricerca discussione

Visualizza

dubbio PHP PDO

Permessi di invio