Extensão PDO


Olha galera do PHP!

Hoje vamos falar de PDO que é muito usado no php desde a versão 5.1.0.

A PDO é uma biblioteca para abstração de conexões a bancos de dados — embutida no PHP desde a versão 5.1.0 — que fornece uma interface comum para conversar com vários bancos de dados diferentes. Por exemplo, você pode usar basicamente o mesmo código para fazer a interface com o MySQL ou SQLite:

<?php
// PDO + MySQL
$pdo = new PDO('mysql:host=example.com;dbname=database', 'user', 'password');
$statement = $pdo->query("SELECT some\_field FROM some\_table");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['some_field']);

// PDO + SQLite
$pdo = new PDO('sqlite:/path/db/foo.sqlite');
$statement = $pdo->query("SELECT some\_field FROM some\_table");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['some_field']);

A PDO não irá traduzir suas consultas SQL ou emular funcionalidades que não existem; ela é feita puramente para conectar múltiplos tipos de bancos de dados com a mesma API.
Mais importante, a PDO permite que você injete de forma segura entradas externas (e.g IDs) em suas consultas SQL sem se preocupar com ataques de SQL injection. Isso é possível usando instruções PDO (PDO statements) e parâmetros restritos (bound parameters).
Vamos assumir que um script PHP recebe um ID numérico como parâmetro de uma consulta. Este ID deve ser usado para buscar um registro de um usuário no banco de dados. Essa é a forma errada de fazer isso:

<?php
$pdo = new PDO('sqlite:/path/db/users.db');
$pdo->query("SELECT name FROM users WHERE id = " . $_GET['id']); // <-- NÃO!
 
 Esse código é péssimo. Você está inserindo um parâmetro bruto na sua consulta SQL. Isso fará você ser hackeado num piscar de olhos, usando uma prática chamada SQL Injection. Apenas imagine se um hacker passar como parâmetro um id inventivo chamando uma URL como http://domain.com/?id=1%3BDELETE+FROM+users. Isso irá definir a variável $_GET['id'] como id=1;DELETE FROM users, o que irá excluir todos os seus usuários. Em vez disso, você deveria higienizar (sanitize) a entrada do ID usando parâmetros restritos da PDO.

<?php
$pdo = new PDO('sqlite:/path/db/users.db');
$stmt = $pdo->prepare('SELECT name FROM users WHERE id = :id');
$stmt->bindParam(':id', $_GET['id'], PDO::PARAM_INT); //<-- Higienizado automaticamente pela PDO
$stmt->execute();

Esse é o código correto. Ele usa um parâmetro restrito em uma instrução PDO. Assim a entrada externa do ID é escapada antes de ser introduzida no banco de dados, prevenindo contra potenciais ataques de SQL injection.
Você também deve estar ciente de que usam recursos do servidor e não é raro ter esses recursos esgotados se essas conexões não forem implicitamente fechadas, entretanto isso é mais comum em outras linguagens. Com PDO você pode implicitamente fechar as conexões pela destruição dos objetos garantindo que todas as referências a ele forem excluídas, ex. atribuindo NULL a elas. Se você não fizer isso explicitamente o PHP irá fechar todas as conexões quando seu script terminar - a não ser é claro que você esteja usando conexões persistentes.

Bom e isso ai ate a próxima...

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Transforma valor R$ por extenso

Olá seguidores do php! Bom eu fiz uma aplicação a onde eu tinha que transforma um valor Decimal em string então fiz uma pesquisa de na internet e achei um muito interessante, ele faz muito bem essa função, eu  fiz os teste aprovei, meus parabéns para que criou. Veja o código: function extenso($valor = 0, $maiusculas = false) { $singular = array("centavo", "real", "mil", "milhão", "bilhão", "trilhão", "quatrilhão"); $plural = array("centavos", "reais", "mil", "milhões", "bilhões", "trilhões", "quatrilhões"); $c = array("", "cem", "duzentos", "trezentos", "quatrocentos", "quinhentos", "seiscentos", "setecentos", "oitocentos", "novecentos"); $d = array("", "dez", "vinte", "trinta", "qu
Leia mais

Criar um arquivo html com php

Imagem
Olá galera hoje vamos criar uma pagina HTML com o php, lembrado que para isso ser possível o seu servidor tem que ter permissão de escrita na pasta a onde o arquivo vai ser salvo. Bom, primeiro vamos criar uma pasta chamada “pastatest” e da a permissão “chmod   777” se for Linux. Vamos ao exemplo: <?php # Nome do arquivo html $pagename = "pastatest/paginahtml.html" ; # Texto a ser salvo no arquivo $texto = "<h1>Test Page Edu</h1>" ; #Criar o arquivo $fp = fopen( $pagename , "w" ) ; $fw = fwrite( $fp, $texto ) ; #Verificar se o arquivo foi salvo. if ( $fw == strlen( $texto )) {    echo 'Arquivo criado com sucesso!!' ; } else {     echo 'falha ao criar arquivo' ; } ?> Veja que nós usamos as funções “ fopen , fwrite  e strlen ” . Bom, é isso ai até a proxima...
Leia mais

Excluir um registro de uma tabela usando php+mysql+jQuery

Imagem
Olá galera do php!   Hoje eu vou mosta como excluir um registro de uma tabela usando php+mysql+jQuery , então vamos lá. Primerio vamos criar uma tabela chamada " tb_contatos" em um banco de dados mysql com os seguintes campos "id","Nome" e "Email". CREATE TABLE `tb_contatos` (   `Id` INT(11) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT 'Id',   `Nome` VARCHAR(50) DEFAULT NULL COMMENT 'Nome Completo',   `email` VARCHAR(100) DEFAULT NULL COMMENT 'E-mail',   PRIMARY KEY (`Id`) ) ENGINE=INNODB AUTO_INCREMENT=0 DEFAULT CHARSET=latin1 De pois de criar a tabela vamos fazer um insert de dados na tabela. INSERT INTO tb_contatos(Nome,email) VALUE ('Nome de Usuario1','email@usuario1.com.br'),('Nome de Usuario2','email@usuario2.com.br'),('Nome de Usuario3','email@usuario3.com.br') Bom agora vamos ao codigo php e jQuery Vamos criar um arquivo para conexão com o bando de dados
Leia mais