Les instructions préparées en PHP

• Tout d’abord, la requête est envoyée au serveur de base de données qui l’analyse et l’optimise.
• Ensuite, les paramètres sont ajoutés à la requête, ce qui permet d’éviter les injections SQL, une technique de piratage qui permet à un attaquant d’insérer du code malveillant dans une requête SQL.

• Exécution Directe
• cette méthode implique l’utilisation de la méthode query() ou exec() pour envoyer directement une requête SQL au serveur de base de données et récupérer le résultat.
• La méthode query() est utilisée pour les requêtes de type SELECT,
• La méthode exec() est utilisée pour les requêtes de type INSERT, UPDATE ou DELETE. Par exemple :

// Exécution directe d'une requête SELECT
$sql = "SELECT * FROM users WHERE username='john.doe'";
$result = $conn->query($sql);

// Exécution directe d'une requête INSERT
$sql = "INSERT INTO users (username, password) VALUES ('john.doe', 'password123')";
$conn->exec($sql);

• Cependant, cette méthode est vulnérable aux attaques par injection SQL si les valeurs des paramètres ne sont pas correctement échappées.
• Utilisation de la méthode préparée
• cette méthode implique la préparation de la requête SQL avec des paramètres vides qui seront remplis avec des valeurs réelles lors de l’exécution de la requête. Cette méthode est plus sécurisée car elle empêche les attaques par injection SQL. Les méthodes prepare(), bind_param() et execute() sont utilisées pour préparer et exécuter une requête préparée. Par exemple :

// Requête préparée SELECT
$sql = "SELECT * FROM users WHERE username=? AND password=?";
$stmt = $conn->prepare($sql);
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
$result = $stmt->get_result();

// Requête préparée INSERT
$sql = "INSERT INTO users (username, password) VALUES (?, ?)";
$stmt = $conn->prepare($sql);
$stmt->bind_param("ss", $username, $password);
$stmt->execute();

• En utilisant des requêtes préparées, les valeurs des paramètres sont échappées automatiquement et sont donc protégées contre les attaques par injection SQL.

• Sécurité : L’utilisation d’instructions préparées permet de réduire les risques de failles de sécurité telles que les injections SQL. Les instructions préparées séparent les instructions SQL et les données, ce qui empêche les attaquants de modifier les instructions SQL.
• Performance : L’utilisation d’instructions préparées permet d’améliorer les performances de l’application, en particulier pour les requêtes répétitives. Les instructions préparées sont précompilées par le SGBD et optimisées pour une exécution rapide, ce qui permet de réduire les temps de réponse.
• Lisibilité : L’utilisation d’instructions préparées permet de rendre le code plus lisible et plus facile à maintenir. Les instructions préparées sont généralement plus claires et plus concises que les requêtes SQL inline, ce qui rend le code plus facile à comprendre pour les développeurs.
• Flexibilité : Les instructions préparées peuvent être utilisées pour exécuter des requêtes SQL dynamiques en fonction des données de l’utilisateur ou des paramètres de l’application. Cela permet de rendre l’application plus flexible et plus adaptable aux besoins de l’utilisateur.

En résumé, les instructions préparées en PHP offrent des avantages en termes de sécurité, de performances, de lisibilité et de flexibilité pour les applications qui nécessitent l’utilisation de requêtes SQL.

• Les espaces réservés positionnels sont identifiés par un point d’interrogation (?) dans la requête préparée.
• Les valeurs à lier sont ensuite fournies sous forme d’un tableau ou d’une liste dans la méthode execute() dans l’ordre dans lequel elles apparaissent dans la requête préparée.

$stmt = $pdo->prepare('SELECT * FROM users WHERE id = ? AND status = ?');
$stmt->execute([$user_id, $status]);

Dans PDO, nous pouvons utiliser des espaces réservés positionnels et nommés. Pour les requêtes simples, personnellement, je préfère les espaces réservés positionnels, je les trouve moins verbeux, mais c’est entièrement une question de goût.

• Les espaces réservés nommés sont identifiés par un nom préfixé par deux-points (:), suivi d’un identifiant unique. Les valeurs à lier sont ensuite fournies sous forme d’un tableau associatif dans la méthode execute().

$stmt = $pdo->prepare('SELECT * FROM users WHERE name = :name AND email = :email');
$stmt->execute([':name' => $name, ':email' => $email]);

L’utilisation d’espaces réservés nommés peut rendre votre code plus lisible, en particulier lorsque vous avez plusieurs paramètres à lier. De plus, cela peut aider à éviter les erreurs d’ordre de paramètres, car les valeurs sont liées en fonction de leur nom plutôt que de leur position dans la requête préparée.

• 1- Préparer la requête :
• La première étape consiste à préparer la requête SQL en utilisant la méthode « prepare » de l’objet PDO. Cette méthode prend en paramètre la requête SQL avec des marqueurs de position à la place des valeurs réelles. Par exemple, une requête préparée pour insérer des données dans une table peut ressembler à ceci :

$stmt = $pdo->prepare('INSERT INTO users (name, email) VALUES (:name, :email)');

• 2- Binder les valeurs :
  • La deuxième étape consiste à binder les valeurs réelles aux marqueurs de position dans la requête préparée en utilisant la méthode « bindValue » ou « bindParam » de l’objet PDO. Par exemple :

  $stmt->bindValue(':name', 'John Doe');
  $stmt->bindValue(':email', 'john.doe@example.com');

  • Vous pouvez également utiliser des tableaux pour binder plusieurs valeurs en même temps. Par exemple :

  $data = array('name' => 'John Doe', 'email' => 'john.doe@example.com');
  $stmt->execute($data);

• 3- Exécuter la requête :
• La dernière étape consiste à exécuter la requête en utilisant la méthode « execute » de l’objet PDO. Cette méthode exécutera la requête avec les valeurs bindées et renverra un objet PDOStatement qui contiendra les résultats de la requête.

$stmt->execute();
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);

• Notez que les étapes 2 et 3 peuvent être effectuées ensemble en utilisant la méthode « execute » avec un tableau de valeurs. Par exemple :

$stmt->execute(array('name' => 'John Doe', 'email' => 'john.doe@example.com'));
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);

• En utilisant des requêtes préparées, vous pouvez réduire les risques de failles de sécurité telles que les injections SQL et améliorer les performances de votre application.

• Il existe plusieurs moyens de lier les paramètres avec des valeurs ou des variables. C’est à dire de remplacer les paramètres par les valeurs:
• Soit on regroupe les valeurs dans un tableau et on passera ce tableau en paramètre à la méthode « execute » comme dans l’exemple ci-dessous, si on utilise des marqueur interrogatif « ? »

  

• Soit on regroupe les valeurs dans un tableau associatif et on passera ce tableau en paramètre à la méthode exécute comme dans l’exemple ci-dessous, si on utilise des marqueurs nommés.