Comment éviter la répétition de code lors de l'utilisation d'instructions préparées PHP SQL ?

Comment éviter la répétition de code avec les instructions préparées PHP SQL

Les instructions préparées sont cruciales pour prévenir les attaques par injection SQL. Cependant, ils peuvent conduire à une redondance excessive du code, notamment dans les cas comportant de nombreuses colonnes. Pour résoudre ce problème, il existe plusieurs approches pour minimiser les répétitions.

1. PHP brut

Cette approche utilise des espaces réservés positionnels et omet la clause des noms de champs dans la requête, en s'appuyant sur les valeurs par défaut pour les champs manquants. Par exemple :

$data = [$taskName, $startDate, $completedDate];
$sql = 'INSERT INTO tasks VALUES(null, ?, ?, ?)';
$db->prepare($sql)->execute($data);

2. Fonction d'assistance

On peut créer une fonction d'assistance qui accepte un nom de table et un tableau de données avec des noms de champs comme clés et des valeurs comme valeurs. La fonction doit utiliser une fonction d'assistance pour échapper correctement les noms de champs pour la prévention des injections SQL :

function prepared_insert($conn, $table, $data) {
    $keys = array_map('escape_mysql_identifier', array_keys($data));
    $fields = implode(",", $keys);
    $table = escape_mysql_identifier($table);
    $placeholders = str_repeat('?,', count($keys) - 1) . '?';
    $sql = "INSERT INTO $table ($fields) VALUES ($placeholders)";
    $conn->prepare($sql)->execute(array_values($data));
}

// Usage:
prepared_insert($db, 'tasks', [
    'task_name' => $taskName,
    'start_date' => $startDate,
    'completed_date' => $completedDate,
]);

3. Baby ORM

Cette approche utilise la programmation orientée objet pour réduire davantage les répétitions. Une classe prototype est créée avec des méthodes communes pour toutes les tables, et des classes de table spécifiques sont définies avec le nom de la table et la liste des colonnes. Le code d'insertion devient :

$data = [
    'email' => 'email',
    'password' => 123,
    'name' => 'Fooster',
];

$userGateway = new UserGateway($pdo);

$id = $userGateway->create($data);
echo "Create: $id\n";

La classe prototype :

class BasicTableGateway {
    public function create($data): int
    {
        $fields = $this->makeFieldList($data);
        $placeholders = str_repeat('?,', count($data) - 1) . '?';

        $sql = "INSERT INTO `$this->table` ($fields) VALUES ($placeholders)";
        $this->sql($sql,array_values($data));

        return $this->db->lastInsertId();
    }
}

La classe de table spécifique :

class UserGateway extends BasicTableGateway {
    protected $table = 'gw_users';
    protected $fields = ['email', 'password', 'name', 'birthday'];
}

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!