Теория: Подготовленные запросы

Как правило, запросы в базу формируются динамически на основе данных, которые поступают извне. Например, создание пользователя чаще всего происходит во время регистрации. В таком случае код вставки выглядит так:

$name = 'Tota';
$phone = '1234';

$sql = "INSERT INTO users (username, phone) VALUES ('{$name}', '{$phone}')";

$conn->exec($sql);

Составленные таким образом запросы несут в себе серьезную опасность — SQL-инъекции. Вместо обычных данных злоумышленник может отправить текст, который изменит SQL-запрос. Представьте, что внутри переменной $phone хранилась бы такая строка:

$phone = "'); INSERT INTO users (username, phone) VALUES ('i am hacker', '777777); --";

В таком случае после подстановки мы бы получили следующий запрос:

INSERT INTO users (username, phone) VALUES ('somename', '');
INSERT INTO users (username, phone) VALUES ('i am hacker', '777777');

Фактически, вместо одного запроса получилось два. Таким образом, злоумышленник может выполнить произвольный запрос в базу данных — то есть удалить, добавить или изменить все, что ему хочется.

В разработке существует правило «Никогда не доверяй пользовательским данным» — оно особенно важно в работе с базами данных. Любые данные перед вставкой нужно экранировать с помощью подготовленных запросов:

$sql = "INSERT INTO users (username, phone) VALUES (:name, :phone)";
$stmt = $conn->prepare($sql);
$stmt->bindParam(':name', $name);
$stmt->bindParam(':phone', $phone);

$name = 'Tota';
$phone = '12345';
$stmt->execute();

Подготовленные запросы создаются с помощью плейсхолдеров. Это заполнители, которые расставляются в местах, где ожидается подстановка данных. При этом плейсхолдеры не нужно оборачивать в кавычки, если это строки, драйвер сделает это автоматически.

Плейсхолдеры могут быть не только именованные, но и позиционные, в виде знака вопроса ?

$sql = "INSERT INTO users (username, phone) VALUES (?, ?)";
$stmt = $conn->prepare($sql);
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $phone);

$name = 'Tota';
$phone = '12345';
$stmt->execute();

Заполнение данными выполняется с помощью метода bindParam(). Метод принимает на вход два обязательных параметра:

• Идентификатор параметра. Для подготавливаемых запросов с именованными параметрами это будет имя в виде :name. Если используются позиционные параметры, то это будет позиция плейсхолдера в запросе, начиная с 1
• Данные, которые нужно подставить

Ускорение запросов

Кроме того, подготовленные запросы могут работать быстрее обычных. Дело в том, что мы можем выполнять множество запросов подряд в рамках одного подготовленного запроса. При использовании подготовленного запроса СУБД анализирует и оптимизирует запрос только один раз, а приложение запускает на выполнение уже подготовленный шаблон. За счет этого ускоряется работа

$sql = "INSERT INTO users (username, phone) VALUES (:name, :phone)";
$stmt = $conn->prepare($sql);
$stmt->bindParam(':name', $name);
$stmt->bindParam(':phone', $phone);

$name = 'Tota';
$phone = '12345';
$stmt->execute();

// Выполняем уже подготовленный запрос с другими данными
$name = 'Anna';
$phone = '9876';
$stmt->execute();

Возврат идентификатора

Когда мы вставляем данные в базу, иногда нам нужно получить идентификатор вставленной записи и потом использовать его в коде. Например, когда мы создаем какую-то сущность и хотим потом ее использовать:

$user = new User();
// Сохраняем пользователя в базу данных
// После этого становится доступен id
$user->getId();
// Его можно использовать для формирования ссылок или вставки связанных записей

Чтобы выполнить эту задачу, используем метод lastInsertId(), который возвращает идентификатор последней вставленной записи в виде строки

$sql = "INSERT INTO users (username, phone) VALUES (:name, :phone)";
$stmt = $conn->prepare($sql);
$stmt->bindParam(':name', $name);
$stmt->bindParam(':phone', $phone);

$name = 'Tota';
$phone = '12345';
$stmt->execute();
$id = $conn->lastInsertId(); // 1