Для переменной надо bindParam или bindValue?

Question

[Max Ba]

Передаю переменные, на всех сайтах так:

$colour_id = 1;
$sth->bindValue(1, $colour_id, PDO::PARAM_INT);

$colour_name = 'blue';
$sth->bindValue(2, $colour_name, PDO::PARAM_STR);

Правильно ли ВСЕГДА использовать bindValue или тут лучше bindParam?
PS вопрос только для mysql и только касаемо типов string и int.
В документации пишут про ссылки. Читал и никак не догнал. У меня код только такой и никакой больше.
bindParam или bindValue?

Answer 1

[nokimaro]

Ключевая разница в том что переменная привязывается по ссылке, и второй абзац намекающий на то что результаты запроса могут изменить значение и даже тип переменной.
В общем если вы не понимаете зачем оно нужно и какие риски, то надёжнее использовать bindValue().

PDOStatement::bindParam

Связывает переменную PHP с именованным или неименованным параметром подготавливаемого SQL-запроса. В отличие от PDOStatement::bindValue(), переменная привязывается по ссылке и ее значение будет вычисляться во время вызова PDOStatement::execute().

В большинстве случаев в подготавливаемых запросах используются только входные параметры, то есть при построении запроса доступ к ним осуществляется только в режиме чтения. Тем не менее, некоторые драйверы позволяют запускать хранимые процедуры, которые, в свою очередь, могут возвращать данные посредством выходных параметров. Зачастую, такие параметры используются одновременно как входные и как выходные.

Comments

[Max Ba]

То есть, для конкретно моего случая, когда переменная не будет меняться, однозначно bindValue?

[nokimaro]

Ну и как дополнение пример использования bindParam() в котором очевидна разница c bindValue()
Сперва мы делаем привязку к переменным (по ссылке) а потом меняем значение переменных и несколько раз вызываем execute() без каких-либо доп. привязок

// prepare sql and bind parameters
    $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
    VALUES (:firstname, :lastname, :email)");
    $stmt->bindParam(':firstname', $firstname);
    $stmt->bindParam(':lastname', $lastname);
    $stmt->bindParam(':email', $email);

    // insert a row
    $firstname = "John";
    $lastname = "Doe";
    $email = "john@example.com";
    $stmt->execute();

    // insert another row
    $firstname = "Mary";
    $lastname = "Moe";
    $email = "mary@example.com";
    $stmt->execute();

    // insert another row
    $firstname = "Julie";
    $lastname = "Dooley";
    $email = "julie@example.com";
    $stmt->execute();

[Max Ba]

nokimaro, спасибо, понял. Мне проще с Value))

[nokimaro]

Max Ba, в вашем случае, и в 90% случаев лучше и надёжнее использовать bindValue.

[Max Ba]

nokimaro, а в цикле, получается так делаем?

$stmt = $db->prepare("INSERT INTO `tab` VALUE (?)");
foreach(range(1, 100) as $v){
	$stmt->bindValue(1, $v, PDO::PARAM_INT);
	$stmt->execute();
}

Answer 2

[FanatPHP]

Правильно будет не колупаться с bind, а отправить переменные прямиком в execute

$sth->execute([$colour_name]);

Comments

[Max Ba]

Да я сам так всегда делаю. Но вычитал, что execute приводит цифры к буквам.
Конечно, всё работает, но вдруг чё) А тут прям PDO::PARAM_INT