PDO::prepare или PDO::query?

Question

[Dark_Dante]

Здравствуйте.
Подскажите, есть ли смысл использовать PD::prepare вместо PDO::query?
Слышал, что подготовленные запросы к базе предпочтительнее, так как на большом количестве однотипных запросов prepare дает прирост в скорости.
Правда ли что prepare не имеет смысла использовать для INSERT/UPDATE?
Что лучше использовать при биндинге входных значений- именованные (:param) или неименованные (?) псевдопеременные?
Дает ли использование подготовленных запросов полную защиту от sql-инъекций?
Заранее спасибо

Answer 1

[Андрей Буров]

Подскажите, есть ли смысл использовать PD::prepare вместо PDO::query?

query не заменяет prepare

Слышал, что подготовленные запросы к базе предпочтительнее, так как на большом количестве однотипных запросов prepare дает прирост в скорости.

php.net/manual/ru/pdo.query.php

Если запрос будет запускаться многократно, для улучшения производительности приложения имеет смысл этот запрос один раз подготовить методом PDO::prepare(), а затем запускать на выполнение методом PDOStatement::execute() столько раз, сколько потребуется.

Правда ли что prepare не имеет смысла использовать для INSERT/UPDATE?

Только его и стоит использовать т.к. можно сделать биндинг параметров. (см.ниже)

Что лучше использовать при биндинге входных значений- именованные (:param) или неименованные (?) псевдопеременные?

Не имеет значения.

Дает ли использование подготовленных запросов полную защиту от sql-инъекций?

Да.

Comments

[Александр Таратин]

Не дает https://stackoverflow.com/questions/134099/are-pdo...

[Андрей Буров]

Александр Таратин: Это частные баги и дыры. которые и так часто встречаются.
как сказал Никита, придется положиться на разрабов PHP и СУБД

[Dark_Dante]

Александр Таратин: Страшная штука :) Как я понял через гугл переводчик, если явно указать кодировку работы с базой данных через SET names, например utf-8, то всякие китайские иероглифы будут нестрашны?

[Андрей Буров]

Dark_Dante: это один частный случай.

Answer 2

[Alexander Litvinenko]

я конечно на мега спеца по SQL не претендую, но

PDO::prepare - подготавливает выражение на сервере, которое можно использовать многократно, т.е. 1 запрос или 100 с разными параметрами, уже не так важно.

PDO::query - подготавливает и использует выражение на один раз, для всех последующих запросов, даже однотипных, запрос будет строится с нуля.

Comments

[Dark_Dante]

Про многократное использование тут вопросов нет.
А для однократного использования что лучше?
Лично я все время во всех случаях все делаю через prepare. И что то стал сомневаться последнее время, правильно ли я делаю?

[Alexander Litvinenko]

А для однократного не так важно, не те нагрузки.

Оберните это все в AR или DAO, внутри можете всегда использовать PDO::prepare, в данном случае простота оправдает себя.

Если используете чистый PDO, то конечно для одиночных запросов PDO::query, меньше писанины. Но чистый PDO это только для обучения.

Answer 3

[Никита]

Защита будет. Насколько полная вам смогут только люди, занимающиеся sql-инъекциями. В этом вопросе придется положиться на разрабов. Если исходить из экранирования, которое обеспечивается использованием плейсхолдеров - то да, по идее полное.

Есть ли смысл использовать PD::prepare вместо PDO::query? Давайте исходить из того, что в мануалах к расширению везде указано использование prepare, даже для однократных, не повторяющихся запросов.