पोस्टग्रेर्स

Question

के लिए PHP द्वारा तैयार कथन का उपयोग करने के लिए यह "When not to use Prepared statements?" पर एक समान प्रश्न है, लेकिन "कैसे करें" -part और PostgreSQL के लिए।

मुझे पता है कि मुझे तैयार कथन की आवश्यकता है क्योंकि मैं एक स्क्रिप्ट के दौरान अपने डेटाबेस में एक से अधिक कॉल करता हूं।

मैं typecasting पर following sentence

देखो के बारे में ठोस उदाहरण प्राप्त करने के लिए, मान्य और चर प्रतिबंध लगाया और तैयार बयान के साथ पीडीओ का उपयोग कर चाहते हैं।

मुझे पता है कि चर का सत्यापन और स्वच्छता करके उनका क्या मतलब है। हालांकि, मैं तैयार बयानों के बारे में पूरी तरह से यकीन नहीं कर रहा हूँ। हम कथन कैसे तैयार करते हैं? फ़िल्टर द्वारा, यह sanitizing द्वारा है? या कुछ पीडीओ परत से? परत की परिभाषा क्या है?

कथन में तैयार कथन का क्या अर्थ है? कृपया, ठोस उदाहरणों का उपयोग करें।

Answer 1

तैयार बयान बयान में क्या मतलब है?

documentation से:

यह सुविधा आदेशों बार-बार इस्तेमाल किया जाएगा पार्स किया जा सकता है और सिर्फ एक बार योजना बनाई है, न कि हर बार वे क्रियान्वित कर रहे हैं की तुलना में अनुमति देता है।

• तैयार बयान क्यों करें:

  <?php 
  // Connect to a database named "mary" 
  $dbconn = pg_connect("dbname=mary"); 
  
  // Prepare a query for execution 
  $result = pg_prepare($dbconn, "my_query", 'SELECT * FROM shops WHERE name = $1'); 
  
  // Execute the prepared query. Note that it is not necessary to escape 
  // the string "Joe's Widgets" in any way 
  $result = pg_execute($dbconn, "my_query", array("Joe's Widgets")); 
  
  // Execute the same prepared query, this time with a different parameter 
  $result = pg_execute($dbconn, "my_query", array("Clothes Clothes Clothes")); 
  ?> 
  

  MySQL documentation for Prepared Statements अच्छी तरह से निम्नलिखित प्रश्नों के उत्तर देता:

  ऊपर लिंक पेज से देखें pg_prepare

  उदाहरण?

• आपको तैयार कथन का उपयोग कब करना चाहिए?

Answer 2

हम बयान तैयारी कैसे करूं:

आप एक प्रश्न एक बार परिभाषित है, और यह जितनी बार विभिन्न मूल्यों के साथ की तरह के रूप में कहा जा सकता है।

$result = pg_prepare($dbconn, "my_query", 'SELECT * FROM shops WHERE name = $1'); 
$result = pg_execute($dbconn, "my_query", array("Joe's Widgets")); 
$result = pg_execute($dbconn, "my_query", array("row two")); 
$result = pg_execute($dbconn, "my_query", array("row three")); 

देखें (जैसे एक पाश में।): http://us2.php.net/manual/en/function.pg-execute.php

Answer 3

इसका मतलब है कि यह आपको पैरामीटर मैन्युअल रूप से उद्धृत करने की आवश्यकता को समाप्त कर एसक्यूएल इंजेक्शन हमलों को रोकने में मदद करेगा।

एक चर को एसक्यूएल में रखने के बजाय आप नामित या प्रश्न चिह्न मार्कर का उपयोग करते हैं जिसके लिए कथन निष्पादित होने पर वास्तविक मान प्रतिस्थापित किए जाएंगे। पीएचपी पुस्तिका से PDO की

परिभाषा:
'पीएचपी डेटा ऑब्जेक्ट (पीडीओ) विस्तार PHP में डेटाबेस तक पहुँचने के लिए एक हल्के, संगत इंटरफेस को परिभाषित करता।'

PDO और PDO::prepare पर PHP मैनुअल देखें।

नामित मार्कर के साथ एक तैयार बयान का एक उदाहरण:

<?php 
$pdo = new PDO('pgsql:dbname=example;user=me;password=pass;host=localhost;port=5432'); 

$sql = "SELECT username, password 
FROM users 
WHERE username = :username 
AND password = :pass"; 

$sth = $pdo->prepare($sql); 
$sth->execute(array(':username' => $_POST['username'], ':pass' => $_POST['password'])); 
$result = $sth->fetchAll(); 

प्रश्न चिह्न मार्कर के साथ एक तैयार बयान का एक उदाहरण:

<?php 
$pdo = new PDO('pgsql:dbname=example;user=me;password=pass;host=localhost;port=5432'); 

$sql = "SELECT username, password 
FROM users 
WHERE username = ? 
AND password = ?"; 

$sth = $pdo->prepare($sql); 
$sth->execute(array($_POST['username'], $_POST['password'])); 
$result = $sth->fetchAll(); 

Answer 4

उत्तर Karim79 के जवाब

यह करने के लिए

$result = pg_prepare($dbconn, "query1", 'SELECT passhash_md5 FROM users WHERE email = $1'); 

इस

$result = pg_prepare($dbconn, "query1", 'SELECT passhash_md5 FROM users WHERE email = ?'); 

---

निष्कर्ष के रूप में ही हो रहा है: जब से तुम sanitizing पर विचार करने की जरूरत नहीं है pg_prepare और pg_execute के उपयोग, पीएचपी और अधिक कुशल बनाता है। यह आपको पीडीओ के उपयोग में भी मदद करता है।