Prepared Statements

PHP 🟢 Junior

Definition

Requetes SQL parametrees ou les valeurs sont envoyees separement du code SQL. Protection native contre les injections SQL.

Analogie

Comme un formulaire pre-imprime avec des cases vides : la structure est fixe, seules les donnees changent.

Exemple de code

$stmt = $pdo->prepare(
  'INSERT INTO users (name, email) VALUES (:name, :email)'
);
$stmt->execute([
  'name' => $name,
  'email' => $email,
]);

Cas d'usage

Pour CHAQUE requete SQL qui inclut des donnees variables, sans exception.

Anti-pattern

Preparer la requete mais concatener les valeurs quand meme dans la string SQL.

Termes lies

#core#interview#security