Comment éviter la répétition de code avec les instructions préparées PHP SQL
Les instructions préparées sont cruciales pour prévenir les attaques par injection SQL. Cependant, ils peuvent conduire à une redondance excessive du code, notamment dans les cas comportant de nombreuses colonnes. Pour résoudre ce problème, il existe plusieurs approches pour minimiser les répétitions.
1. PHP brut
Cette approche utilise des espaces réservés positionnels et omet la clause des noms de champs dans la requête, en s'appuyant sur les valeurs par défaut pour les champs manquants. Par exemple :
$data = [$taskName, $startDate, $completedDate]; $sql = 'INSERT INTO tasks VALUES(null, ?, ?, ?)'; $db->prepare($sql)->execute($data);
2. Fonction d'assistance
On peut créer une fonction d'assistance qui accepte un nom de table et un tableau de données avec des noms de champs comme clés et des valeurs comme valeurs. La fonction doit utiliser une fonction d'assistance pour échapper correctement les noms de champs pour la prévention des injections SQL :
function prepared_insert($conn, $table, $data) {
$keys = array_map('escape_mysql_identifier', array_keys($data));
$fields = implode(",", $keys);
$table = escape_mysql_identifier($table);
$placeholders = str_repeat('?,', count($keys) - 1) . '?';
$sql = "INSERT INTO $table ($fields) VALUES ($placeholders)";
$conn->prepare($sql)->execute(array_values($data));
}
// Usage:
prepared_insert($db, 'tasks', [
'task_name' => $taskName,
'start_date' => $startDate,
'completed_date' => $completedDate,
]);3. Baby ORM
Cette approche utilise la programmation orientée objet pour réduire davantage les répétitions. Une classe prototype est créée avec des méthodes communes pour toutes les tables, et des classes de table spécifiques sont définies avec le nom de la table et la liste des colonnes. Le code d'insertion devient :
$data = [
'email' => 'email',
'password' => 123,
'name' => 'Fooster',
];
$userGateway = new UserGateway($pdo);
$id = $userGateway->create($data);
echo "Create: $id\n";La classe prototype :
class BasicTableGateway {
public function create($data): int
{
$fields = $this->makeFieldList($data);
$placeholders = str_repeat('?,', count($data) - 1) . '?';
$sql = "INSERT INTO `$this->table` ($fields) VALUES ($placeholders)";
$this->sql($sql,array_values($data));
return $this->db->lastInsertId();
}
}La classe de table spécifique :
class UserGateway extends BasicTableGateway {
protected $table = 'gw_users';
protected $fields = ['email', 'password', 'name', 'birthday'];
}Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Utilisations courantes de l'ensemble
Explication détaillée de la configuration de nginx
Comment résoudre le problème d'occupation du port phpstudy
Comment centrer verticalement le texte div
Introduction aux outils de robot d'exploration
Qu'est-ce qu'une procédure stockée MYSQL ?
Comment diffuser l'écran d'un téléphone mobile Huawei sur un téléviseur
Méthodes pour prévenir les attaques CC
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
