Diferència entre revisions de la pàgina «A1- Accés a BD amb PHP (10h)»
Línia 306: | Línia 306: | ||
$stmt->close(); | $stmt->close(); | ||
</source> | </source> | ||
+ | En el SQL, inserim un signe d'interrogació ( '''?''' ) On volem substituir en un enter, cadena, valor doble o blob. | ||
+ | |||
+ | A continuació, fer un cop d'ull a la funció '''bind_param ()''': | ||
+ | <source lang="php"> | ||
+ | $stmt- >bind_param ( "sss" , $cognom , $cognom , $email ) ; | ||
+ | </source> | ||
+ | Aquesta funció enllaça les paràmetres a la instrucció SQL i li diu a la base de dades quins són els paràmetres. L'argument '''sss''' diu els tipus de dades de cada paràmetre. El caràcter '''s''' diu que el paràmetre és una cadena. | ||
+ | |||
+ | Els tipus de dades poden ser de quatre tipus: | ||
+ | |||
+ | #i - nombre enter | ||
+ | #d - doble | ||
+ | #s - cadena | ||
+ | #b - BLOB | ||
+ | |||
+ | En dir-li a mysql quin tipus de dades que poden esperar, minimitzem el risc d'injeccions SQL. | ||
=== PDO === | === PDO === | ||
Línia 338: | Línia 354: | ||
</source> | </source> | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
Revisió del 14:01, 17 feb 2015
Contingut
Connexió a BD amb PHP
La base de dades a utilitzar serà mysql que haureu d'instal·la en el servidor Web.
Es recomana utilitzar la màquina virtual creada per a Symfony.
Per connectar-nos a BD podem utilitzar tres maneres:
- mysqli procedural
- mysqli object-oriented
- PDO (PHP Data Objects)
Mysqli Procedural
<?php
/*Establir la connexió*/
$servername = "localhost";
$username = "username";
$password = "password";
// Create connection
$conn = mysqli_connect($servername, $username, $password);
// Check connection
if (!$conn) {
die("Connection failed: " . mysqli_connect_error());
}
echo "Connected successfully";
/*Tancar la connexió*/
mysqli_close($conn);
?>
Mysqli object-oriented
<?php
/*Establir la connexió*/
$servername = "localhost";
$username = "username";
$password = "password";
// Create connection
$conn = new mysqli($servername, $username, $password);
// Check connection
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
echo "Connected successfully";
/*Tancar la connexió*/
$conn->close();
?>
PDO
<?php
/*Establir la connexió*/
$servername = "localhost";
$username = "username";
$password = "password";
try {
$conn = new PDO("mysql:host=$servername;dbname=myDB", $username, $password);
// set the PDO error mode to exception
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
echo "Connected successfully";
}
catch(PDOException $e)
{
echo "Connection failed: " . $e->getMessage();
}
/*Tancar la connexió*/
$conn = null;
?>
Haig d'utilitzar MySQLi o PDO ?
Tant MySQLi i PDO tenen els seus avantatges :
PDO treballarà en 12 sistemes de bases de dades diferents, però MySQLi només funciona amb bases de dades MySQL .
Per tant, si preveus que es possible que canviarà el sistema de base de dades del teu projecte utilitza PDO. Només hauràs de canviar els paràmetres de connexió i algunes consultes. Amb MySQLi, hauràs de tornar a escriure tot el codi - consultes incloses.
Tots dos són orientat a objectes, però MySQLi també ofereix una API procedimental.
Tots dos recolzen Sentències preparades. Sentències preparades (Prepared Sentences) protegeixen d'injecció SQL , i són molt importants per a la seguretat de les aplicacions web.
Creació d'una Base de Dades
Veurem les tres maneres que hi ha de creació d'una base de dades:
Mysqli Object Oriented
/* Es supossa que existeix una connexió */
// Create database
$sql = "CREATE DATABASE myDB";
if ($conn->query($sql) === TRUE) {
echo "Database created successfully";
} else {
echo "Error creating database: " . $conn->error;
}
Mysql Procedural
/* Es supossa que existeix una connexió */
// Create database
$sql = "CREATE DATABASE myDB";
if (mysqli_query($conn, $sql)) {
echo "Database created successfully";
} else {
echo "Error creating database: " . mysqli_error($conn);
}
PDO
/* Es supossa que existeix una connexió */
$sql = "CREATE DATABASE myDBPDO";
// use exec() because no results are returned
$conn->exec($sql);
echo "Database created successfully<br>";
Creació d'una Taula
La Taula següent es crearà utilitzant els tres metodes:
// sql to create table
$sql = "CREATE TABLE MyGuests (
id INT(6) UNSIGNED AUTO_INCREMENT PRIMARY KEY,
firstname VARCHAR(30) NOT NULL,
lastname VARCHAR(30) NOT NULL,
email VARCHAR(50),
reg_date TIMESTAMP
)";
Mysqli Object Oriented
/* Es supossa que existeix una connexió */
if ($conn->query($sql) === TRUE) {
echo "Table MyGuests created successfully";
} else {
echo "Error creating table: " . $conn->error;
}
Mysql Procedural
/* Es supossa que existeix una connexió */
if (mysqli_query($conn, $sql)) {
echo "Table MyGuests created successfully";
} else {
echo "Error creating table: " . mysqli_error($conn);
}
PDO
/* Es supossa que existeix una connexió */
// use exec() because no results are returned
$conn->exec($sql);
echo "Table MyGuests created successfully";
Afegir un registre a una taula
S'afegirà un registre a una taula ja creada utilitzant els tres mètodes d'accès a BD:
Mysqli Object Oriented
/* Es supossa que existeix una connexió */
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com')";
if ($conn->query($sql) === TRUE) {
echo "New record created successfully";
} else {
echo "Error: " . $sql . "<br>" . $conn->error;
}
Mysql Procedural
/* Es supossa que existeix una connexió */
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com')";
if (mysqli_query($conn, $sql)) {
echo "New record created successfully";
} else {
echo "Error: " . $sql . "<br>" . mysqli_error($conn);
}
PDO
/* Es supossa que existeix una connexió */
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com')";
// use exec() because no results are returned
$conn->exec($sql);
echo "New record created successfully";
Afegir multiples registres a una taula
S'afegiran molts registres a una taula ja creada utilitzant els tres mètodes d'accès a BD:
Mysqli Object Oriented
/* Es supossa que existeix una connexió */
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com');";
$sql .= "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Mary', 'Moe', 'mary@example.com');";
$sql .= "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Julie', 'Dooley', 'julie@example.com')";
if ($conn->multi_query($sql) === TRUE) {
echo "New records created successfully";
} else {
echo "Error: " . $sql . "<br>" . $conn->error;
}
Mysql Procedural
/* Es supossa que existeix una connexió */
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com');";
$sql .= "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Mary', 'Moe', 'mary@example.com');";
$sql .= "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Julie', 'Dooley', 'julie@example.com')";
if (mysqli_multi_query($conn, $sql)) {
echo "New records created successfully";
} else {
echo "Error: " . $sql . "<br>" . mysqli_error($conn);
}
PDO
/* Es supossa que existeix una connexió */
// begin the transaction
$conn->beginTransaction();
// our SQL statememtns
$conn->exec("INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com')");
$conn->exec("INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Mary', 'Moe', 'mary@example.com')");
$conn->exec("INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('Julie', 'Dooley', 'julie@example.com')");
// commit the transaction
$conn->commit();
echo "New records created successfully";
}
Prepared Sentences
Una declaració preparada és una funció que s'utilitza per executar les mateixes (o similars) sentències SQL amb alta eficiència.
- Prepare : Es crea una plantilla SQL i s'envia a la base de dades. Alguns valors es deixen sense especificar, anomenat paràmetres (amb l'etiqueta "?") . Exemple : INSERT INTO MyGuests VALUES ( ?, ?,? )
- La base de dades analitza, compila i optimitza les consultes SQL Preparades i emmagatzema el resultat sense executar-ho.
- Executar : En un moment posterior, l'aplicació afegeix els paràmetres que falten, i la base de dades executa la instrucció . L'aplicació pot executar la instrucció tantes vegades com es vulgui amb diferents valors.
Les declaracions preparades tenen dos avantatges principals :
- Les declaracions preparades redueixen el temps d'anàlisi per què la preparació de la consulta es realitza només una vegada (encara que la sentència s'executa diverses vegades )
- Minimitzen l'ample de banda al servidor al enviar només els paràmetres cada vegada, i no tota la consulta.
- Les declaracions preparades són molt útils contra els atacs d'injeccions SQL, ja que els valors dels paràmetres , que es transmeten posteriorment utilitzant un protocol diferent, no tenen per què ser escapats correctament.
A continuació mostro un exemple amb cada mètode:
Mysqli Object Oriented i Procedural
/* Es supossa que existeix una connexió */
// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "New records created successfully";
$stmt->close();
En el SQL, inserim un signe d'interrogació ( ? ) On volem substituir en un enter, cadena, valor doble o blob.
A continuació, fer un cop d'ull a la funció bind_param ():
$stmt- >bind_param ( "sss" , $cognom , $cognom , $email ) ;
Aquesta funció enllaça les paràmetres a la instrucció SQL i li diu a la base de dades quins són els paràmetres. L'argument sss diu els tipus de dades de cada paràmetre. El caràcter s diu que el paràmetre és una cadena.
Els tipus de dades poden ser de quatre tipus:
- i - nombre enter
- d - doble
- s - cadena
- b - BLOB
En dir-li a mysql quin tipus de dades que poden esperar, minimitzem el risc d'injeccions SQL.
PDO
/* Es supossa que existeix una connexió */
// prepare sql and bind parameters
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// insert a row
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
// insert another row
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
// insert another row
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "New records created successfully";
A continuació mostro un exemple amb cada mètode:
Mysqli Object Oriented
/* Es supossa que existeix una connexió */
Mysql Procedural
/* Es supossa que existeix una connexió */
PDO
/* Es supossa que existeix una connexió */