۳
آذر

جلسه ۳۴ : دستورات آماده در MySQL

دسته‌بندی‌ها :

جزئیات
نوع محتواآموزش تصویری

با سلام و عرض ادب خدمت کاربران محترم سایت پی وی لرن. در این جلسه قصد داریم تا دستورات آماده در MySQL ، دستورات آماده در MySQLi و دستورات آماده در PDO را فرا بگیریم.

دستورات آماده در برابر SQL injection ها بسیار مفید هستند.

دستورات آماده و پارامتر های مرتبط

یک دستور آماده ویژگی هست که برای اجرای مشابه دستورات SQL بار ها و بار ها استفاده می شود.

دستورات آماده اساسا به این صورت کار می کنند:

آماده سازی: یک دستور SQL الگو ساخته شده و به پایگاه داده فرستاده می شود. مقادیر خاصی که مشخص نشده اند، پارامتر های با برچسب “?” نامیده می شوند. مانند: INSERT INTO MyGuests VALUES(?, ?. ?)q
پایگاه داده پردازش، کامپایل و بهینه سازی پرس و جو را بر روی دستور SQL نمونه انجام داده و نتیجه را بدون اجرای آن ذخیره می کند.
اجرا : کمی بعد، برنامه مقادیر را در پارمتر ها ریخته و پایگاه داده دستور را اجرا می کند. ممکن است برنامه دستور را هر چند بار که می خواهد با مقادیر مختلف اجرا کند.

دستورات آماده در مقایسه با دستورات مستقیم SQL سه مزیت اصلی دارند:

دستورات آماده شده زمان پردازش را کاهش می دهند. زیرا آماده سازی کوئری تنها یک بار اجرا شده است. (هرچند که دستوذ چندین بار اجرا می شود)
پارامتر های مرتبط ترافیک و پهنای باند سرور را کاهش می دهند، زیرا شما در هر بار تنها لازم دارید تا پارامتر ها را ارسال کنید نه کل کوئری را.
دستورات آماده در برابر SQL injection بسیار کارا هستند زیرا مقادیر پارامتر ها با استفاده از پروتکل های مختلف انتقال می یابند. اگر که الگوی دستور اصلی از ورودی های خارجی تاثیر نگرفته باشد، SQL injection نمی تواند اتفاق بی افتد

دستورات آماده در MySQLi

مثال زیر استفاده از دستورات آماده و پارامتر های مرتبط را در MySQLi نشان می دهد:

مثال :

 <?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);

// Check connection
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);

// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();

$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();

echo "رکورد های جدید با موفقیت ساخته شدند";

$stmt->close();
$conn->close();
?>

<?php

$servername = "localhost";

$username = "username";

$password = "password";

$dbname = "myDB";

// Create connection

$conn = new mysqli($servername, $username, $password, $dbname);

// Check connection

if ($conn->connect_error) {

die("Connection failed: " . $conn->connect_error);

}

// prepare and bind

$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");

$stmt->bind_param("sss", $firstname, $lastname, $email);

// set parameters and execute

$firstname = "John";

$lastname = "Doe";

$email = "john@example.com";

$stmt->execute();

$firstname = "Mary";

$lastname = "Moe";

$email = "mary@example.com";

$stmt->execute();

$firstname = "Julie";

$lastname = "Dooley";

$email = "julie@example.com";

$stmt->execute();

echo "رکورد های جدید با موفقیت ساخته شدند";

$stmt->close();

$conn->close();

توضیح خطوط کد بالا:

مثال :

"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"

1	"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"

ما یک علامت سوال (؟) در جایی که می خواهیم یک integer, string و double را جایگزین کنیم، درج کرده ایم.

مثال :

$stmt->bind_param("sss", $firstname, $lastname, $email);

1	$stmt->bind_param("sss", $firstname, $lastname, $email);

تابع ()bind_param پارامتر ها را به کوئری SQL وصل می کند.
آرگومان “sss” انواع داده پارامتر ها را لیست می کند. کاراکتر s مشخص می کند که پارامتر یک string یا رشته می باشد.

آرگومان می تواند یکی از پارامتر های زیر باشد:

i – عدد صحیح (integer)
d – عدد اعشاری (double)
s – رشته (sstring)
b – ی BLOB

با مشخص کردن نوع داده ای را که mysql انتظار آن را دارد، ریسک SQL injection را کاهش می دهیم.

نکته: اگر می خواهیم تا هر نوع داده ای را از ورودی های خارجی استفاده کنیم، حتما باید آن را اعتبار سنجی کنیم.

دستورات آماده در PDO

مثال زیر استفاده از دستورات آماده و پارامتر های مرتبط را در PDO نشان می دهد:

مثال :

 <?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";

try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    // set the PDO error mode to exception
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // prepare sql and bind parameters
    $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
    VALUES (:firstname, :lastname, :email)");
    $stmt->bindParam(':firstname', $firstname);
    $stmt->bindParam(':lastname', $lastname);
    $stmt->bindParam(':email', $email);

    // insert a row
    $firstname = "John";
    $lastname = "Doe";
    $email = "john@example.com";
    $stmt->execute();

    // insert another row
    $firstname = "Mary";
    $lastname = "Moe";
    $email = "mary@example.com";
    $stmt->execute();

    // insert another row
    $firstname = "Julie";
    $lastname = "Dooley";
    $email = "julie@example.com";
    $stmt->execute();

    echo "رکورد های جدید با موفقیت اضافه شدند";
    }
catch(PDOException $e)
    {
    echo "خطا: " . $e->getMessage();
    }
$conn = null;
?>

<?php

$servername = "localhost";

$username = "username";

$password = "password";

$dbname = "myDBPDO";

try {

$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);

// set the PDO error mode to exception

$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// prepare sql and bind parameters

$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)

VALUES (:firstname, :lastname, :email)");

$stmt->bindParam(':firstname', $firstname);

$stmt->bindParam(':lastname', $lastname);

$stmt->bindParam(':email', $email);

// insert a row

$firstname = "John";

$lastname = "Doe";

$email = "john@example.com";

$stmt->execute();

// insert another row

$firstname = "Mary";

$lastname = "Moe";

$email = "mary@example.com";

$stmt->execute();

// insert another row

$firstname = "Julie";

$lastname = "Dooley";

$email = "julie@example.com";

$stmt->execute();

echo "رکورد های جدید با موفقیت اضافه شدند";

}

catch(PDOException $e)

{

echo "خطا: " . $e->getMessage();

}

$conn = null;

جلسه کار با دستورات آماده در MySQL نیز به پایان رسید.
در جلسه بعد نحوه استفاده از دستور SELECT در MySQL را خواهیم آموخت.

به اشتراک بگذارید

دیدگاه کاربران

تعداد دیدگاه : 0

پی وی لرن – آموزش برنامه نویسی و طراحی وب سایت

دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)

جلسه ۳۴ : دستورات آماده در MySQL

دستورات آماده و پارامتر های مرتبط

دستورات آماده در MySQLi

دستورات آماده در PDO

لیست مطالب دوره

مقدمات آموزش PHP

PHP Forms

MySQL Database

PHP - XML

PHP - AJAX

مطالب ویژه

دسته های اصلی

برگه ها

بلاگ