Безопасен ли данный запрос с pdo?

Question

[DarkUser]

$sql = "SELECT * FROM bid b
          LEFT JOIN type t USING(type_id)
          LEFT JOIN currency c USING(currency_id)
          LEFT JOIN rate r USING(rate_id) WHERE t.type_name = :typeName";

    $result = $db->prepare($sql);
    $result->bindParam(':typeName', $_POST['type_name'], PDO::PARAM_STR);
    $result->execute();

и еще вопрос в догонку, если мне когда нет параметра $_POST['type_name'] то и условие в запросе WHERE t.type_name = :typeName"; уже не нужно те нужно просто выбрать все записи как сделать лучше ? Напихать кучу if ?

Answer 1

[vdem]

1. Безопасен.
2.

$sql = 'SELECT * FROM bid b
          LEFT JOIN currency c USING(currency_id)
          LEFT JOIN rate r USING(rate_id)'
          . (isset($_POST['type_name'])? ' LEFT JOIN type t USING(type_id) WHERE t.type_name = :typeName': '');

    $result = $db->prepare($sql);
    if(isset($_POST['type_name'])) {
        $result->bindParam(':typeName', $_POST['type_name'], PDO::PARAM_STR);
    }
    $result->execute();

Answer 2

[Niomin]

Да.

И да, с помощью if :)
Я обычно беру простую надстройку над pdo, с методом, куда можно передать запрос с кучей параметров, уже внутри метода все биндятся.

Comments

[Niomin]

Да, про формирование запрос — я обычно делаю так (особенно, если ожидается несколько параметров):

$where = [];
$params = [];
if (isset($_POST['type_name'])) {
    $where[] = 't.type_name = :typeName';
    $params['typeName'] = [$_POST['type_name'], PDO::PARAM_STR];
}
$sql .= join($where, ' AND ');
return $db->fetchAll($sql, $params);

Answer 3

[MetaDone]

добавьте к этому еще
php.net/manual/ru/function.filter-input.php
php.net/manual/ru/filter.filters.php
по второму пункту - разбейте на 3 метода
если есть type_name - то вызываете второй в запросом выше
если нет - то получаете все

Comments

[DarkUser]

так вот в этом и вопрос если такой запрос с параметрами безопасен то не хотелось бы еще добавлять функции которые не нужны, другое дело если этот запрос с bind параметрами потенциально опасен, тогда другой вопрос как его написать безопасно ?