Diferència entre revisions de la pàgina «A1- Accés a BD amb PHP (10h)»

De wikiserver
Dreceres ràpides: navegació, cerca
Línia 306: Línia 306:
 
$stmt->close();
 
$stmt->close();
 
</source>
 
</source>
 +
En el SQL, inserim un signe d'interrogació ( '''?''' ) On volem substituir en un enter, cadena, valor doble o blob.
 +
 +
A continuació, fer un cop d'ull a la funció '''bind_param ()''':
 +
<source lang="php">
 +
$stmt- >bind_param ( "sss" , $cognom , $cognom , $email ) ;
 +
</source>
 +
Aquesta funció enllaça les paràmetres a la instrucció SQL i li diu a la base de dades  quins són els paràmetres. L'argument '''sss''' diu els tipus de dades de cada paràmetre. El caràcter '''s'''  diu que el paràmetre és una cadena.
 +
 +
Els tipus de dades poden ser de quatre tipus:
 +
 +
#i - nombre enter
 +
#d - doble
 +
#s - cadena
 +
#b - BLOB
 +
 +
En dir-li a mysql quin tipus de dades que poden esperar, minimitzem el risc d'injeccions SQL.
  
 
=== PDO ===
 
=== PDO ===
Línia 338: Línia 354:
 
</source>
 
</source>
  
En el SQL, inserim un signe d'interrogació ( '''?''' ) On volem substituir en un enter, cadena, valor doble o blob.
 
 
A continuació, fer un cop d'ull a la funció '''bind_param ()''':
 
<source lang="php">
 
$stmt- >bind_param ( "sss" , $cognom , $cognom , $email ) ;
 
</source>
 
Aquesta funció enllaça les paràmetres a la instrucció SQL i li diu a la base de dades  quins són els paràmetres. L'argument '''sss''' diu els tipus de dades de cada paràmetre. El caràcter '''s'''  diu que el paràmetre és una cadena.
 
  
Els tipus de dades poden ser de quatre tipus:
 
 
#i - nombre enter
 
#d - doble
 
#s - cadena
 
#b - BLOB
 
 
En dir-li a mysql quin tipus de dades que poden esperar, minimitzem el risc d'injeccions SQL.
 
  
  

Revisió del 14:01, 17 feb 2015

Connexió a BD amb PHP

La base de dades a utilitzar serà mysql que haureu d'instal·la en el servidor Web.

Es recomana utilitzar la màquina virtual creada per a Symfony.

Per connectar-nos a BD podem utilitzar tres maneres:

  • mysqli procedural
  • mysqli object-oriented
  • PDO (PHP Data Objects)


Mysqli Procedural

<?php
/*Establir la connexió*/
$servername = "localhost";
$username = "username";
$password = "password";

// Create connection
$conn = mysqli_connect($servername, $username, $password);

// Check connection
if (!$conn) {
    die("Connection failed: " . mysqli_connect_error());
}
echo "Connected successfully";


/*Tancar la connexió*/
mysqli_close($conn);
?>

Mysqli object-oriented

<?php
/*Establir la connexió*/
$servername = "localhost";
$username = "username";
$password = "password";

// Create connection
$conn = new mysqli($servername, $username, $password);

// Check connection
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
} 
echo "Connected successfully";

/*Tancar la connexió*/
$conn->close();
?>

PDO

<?php
/*Establir la connexió*/
$servername = "localhost";
$username = "username";
$password = "password";

try {
    $conn = new PDO("mysql:host=$servername;dbname=myDB", $username, $password);
    // set the PDO error mode to exception
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "Connected successfully"; 
    }
catch(PDOException $e)
    {
    echo "Connection failed: " . $e->getMessage();
    }


/*Tancar la connexió*/
$conn = null;
?>

Haig d'utilitzar MySQLi o PDO ?

Tant MySQLi i PDO tenen els seus avantatges :

PDO treballarà en 12 sistemes de bases de dades diferents, però MySQLi només funciona amb bases de dades MySQL .

Per tant, si preveus que es possible que canviarà el sistema de base de dades del teu projecte utilitza PDO. Només hauràs de canviar els paràmetres de connexió i algunes consultes. Amb MySQLi, hauràs de tornar a escriure tot el codi - consultes incloses.

Tots dos són orientat a objectes, però MySQLi també ofereix una API procedimental.

Tots dos recolzen Sentències preparades. Sentències preparades (Prepared Sentences) protegeixen d'injecció SQL , i són molt importants per a la seguretat de les aplicacions web.

Creació d'una Base de Dades

Veurem les tres maneres que hi ha de creació d'una base de dades:

Mysqli Object Oriented

/* Es supossa que existeix una connexió */
// Create database
$sql = "CREATE DATABASE myDB";
if ($conn->query($sql) === TRUE) {
    echo "Database created successfully";
} else {
    echo "Error creating database: " . $conn->error;
}

Mysql Procedural

/* Es supossa que existeix una connexió */
// Create database
$sql = "CREATE DATABASE myDB";
if (mysqli_query($conn, $sql)) {
    echo "Database created successfully";
} else {
    echo "Error creating database: " . mysqli_error($conn);
}

PDO

/* Es supossa que existeix una connexió */
$sql = "CREATE DATABASE myDBPDO";
    // use exec() because no results are returned
    $conn->exec($sql);
    echo "Database created successfully<br>";

Creació d'una Taula

La Taula següent es crearà utilitzant els tres metodes:

// sql to create table
$sql = "CREATE TABLE MyGuests (
id INT(6) UNSIGNED AUTO_INCREMENT PRIMARY KEY, 
firstname VARCHAR(30) NOT NULL,
lastname VARCHAR(30) NOT NULL,
email VARCHAR(50),
reg_date TIMESTAMP
)";

Mysqli Object Oriented

/* Es supossa que existeix una connexió */
if ($conn->query($sql) === TRUE) {
    echo "Table MyGuests created successfully";
} else {
    echo "Error creating table: " . $conn->error;
}

Mysql Procedural

/* Es supossa que existeix una connexió */

if (mysqli_query($conn, $sql)) {
    echo "Table MyGuests created successfully";
} else {
    echo "Error creating table: " . mysqli_error($conn);
}

PDO

/* Es supossa que existeix una connexió */

    // use exec() because no results are returned
    $conn->exec($sql);
    echo "Table MyGuests created successfully";

Afegir un registre a una taula

S'afegirà un registre a una taula ja creada utilitzant els tres mètodes d'accès a BD:

Mysqli Object Oriented

/* Es supossa que existeix una connexió */
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com')";

if ($conn->query($sql) === TRUE) {
    echo "New record created successfully";
} else {
    echo "Error: " . $sql . "<br>" . $conn->error;
}

Mysql Procedural

/* Es supossa que existeix una connexió */
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com')";

if (mysqli_query($conn, $sql)) {
    echo "New record created successfully";
} else {
    echo "Error: " . $sql . "<br>" . mysqli_error($conn);
}

PDO

/* Es supossa que existeix una connexió */
 $sql = "INSERT INTO MyGuests (firstname, lastname, email)
    VALUES ('John', 'Doe', 'john@example.com')";
    // use exec() because no results are returned
    $conn->exec($sql);
    echo "New record created successfully";


Afegir multiples registres a una taula

S'afegiran molts registres a una taula ja creada utilitzant els tres mètodes d'accès a BD:

Mysqli Object Oriented

/* Es supossa que existeix una connexió */

$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com');";
$sql .= "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Mary', 'Moe', 'mary@example.com');";
$sql .= "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Julie', 'Dooley', 'julie@example.com')";

if ($conn->multi_query($sql) === TRUE) {
    echo "New records created successfully";
} else {
    echo "Error: " . $sql . "<br>" . $conn->error;
}

Mysql Procedural

/* Es supossa que existeix una connexió */
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com');";
$sql .= "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Mary', 'Moe', 'mary@example.com');";
$sql .= "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Julie', 'Dooley', 'julie@example.com')";

if (mysqli_multi_query($conn, $sql)) {
    echo "New records created successfully";
} else {
    echo "Error: " . $sql . "<br>" . mysqli_error($conn);
}

PDO

/* Es supossa que existeix una connexió */
// begin the transaction
    $conn->beginTransaction();
    // our SQL statememtns
    $conn->exec("INSERT INTO MyGuests (firstname, lastname, email) 
    VALUES ('John', 'Doe', 'john@example.com')");
    $conn->exec("INSERT INTO MyGuests (firstname, lastname, email) 
    VALUES ('Mary', 'Moe', 'mary@example.com')");
    $conn->exec("INSERT INTO MyGuests (firstname, lastname, email) 
    VALUES ('Julie', 'Dooley', 'julie@example.com')");

    // commit the transaction
    $conn->commit();
    echo "New records created successfully";
    }

Prepared Sentences

Una declaració preparada és una funció que s'utilitza per executar les mateixes (o similars) sentències SQL amb alta eficiència.

  1. Prepare : Es crea una plantilla SQL i s'envia a la base de dades. Alguns valors es deixen sense especificar, anomenat paràmetres (amb l'etiqueta "?") . Exemple : INSERT INTO MyGuests VALUES ( ?, ?,? )
  2. La base de dades analitza, compila i optimitza les consultes SQL Preparades i emmagatzema el resultat sense executar-ho.
  3. Executar : En un moment posterior, l'aplicació afegeix els paràmetres que falten, i la base de dades executa la instrucció . L'aplicació pot executar la instrucció tantes vegades com es vulgui amb diferents valors.

Les declaracions preparades tenen dos avantatges principals :

  1. Les declaracions preparades redueixen el temps d'anàlisi per què la preparació de la consulta es realitza només una vegada (encara que la sentència s'executa diverses vegades )
  2. Minimitzen l'ample de banda al servidor al enviar només els paràmetres cada vegada, i no tota la consulta.
  3. Les declaracions preparades són molt útils contra els atacs d'injeccions SQL, ja que els valors dels paràmetres , que es transmeten posteriorment utilitzant un protocol diferent, no tenen per què ser escapats correctament.

A continuació mostro un exemple amb cada mètode:

Mysqli Object Oriented i Procedural

/* Es supossa que existeix una connexió */

// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);

// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();

$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();

echo "New records created successfully";

$stmt->close();

En el SQL, inserim un signe d'interrogació ( ? ) On volem substituir en un enter, cadena, valor doble o blob.

A continuació, fer un cop d'ull a la funció bind_param ():

$stmt- >bind_param ( "sss" , $cognom , $cognom , $email ) ;

Aquesta funció enllaça les paràmetres a la instrucció SQL i li diu a la base de dades quins són els paràmetres. L'argument sss diu els tipus de dades de cada paràmetre. El caràcter s diu que el paràmetre és una cadena.

Els tipus de dades poden ser de quatre tipus:

  1. i - nombre enter
  2. d - doble
  3. s - cadena
  4. b - BLOB

En dir-li a mysql quin tipus de dades que poden esperar, minimitzem el risc d'injeccions SQL.

PDO

/* Es supossa que existeix una connexió */
// prepare sql and bind parameters
    $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) 
    VALUES (:firstname, :lastname, :email)");
    $stmt->bindParam(':firstname', $firstname);
    $stmt->bindParam(':lastname', $lastname);
    $stmt->bindParam(':email', $email);

    // insert a row
    $firstname = "John";
    $lastname = "Doe";
    $email = "john@example.com";
    $stmt->execute();

    // insert another row
    $firstname = "Mary";
    $lastname = "Moe";
    $email = "mary@example.com";
    $stmt->execute();

    // insert another row
    $firstname = "Julie";
    $lastname = "Dooley";
    $email = "julie@example.com";
    $stmt->execute();

    echo "New records created successfully";








A continuació mostro un exemple amb cada mètode:

Mysqli Object Oriented

/* Es supossa que existeix una connexió */

Mysql Procedural

/* Es supossa que existeix una connexió */

PDO

/* Es supossa que existeix una connexió */