Использование команды PREPARE (SQL) вместо функции PDO или mysqli

Использование команды PREPARE (SQL) вместо функции PDO или mysqli ⇐ Php

1 сообщение • Страница 1 из 1

Anonymous

Использование команды PREPARE (SQL) вместо функции PDO или mysqli

Цитата

Сообщение Anonymous » 20 окт 2025, 14:40

Я разрабатываю веб-приложения с использованием PHP и использую MySQL в качестве базы данных. Я пытаюсь понять использование подготовленных операторов и только делаю первые шаги.

Насколько я понимаю, подготовленные операторы в первую очередь предназначены для:

Повышения эффективности запроса (предварительный анализ, кеширование плана выполнения, передача двоичных данных между клиентом и сервером)
Обеспечения защиты от атак внедрения кода (по этому поводу не совсем понятно, но я думаю, что у меня есть базовое понимание)

(может быть, есть и другие варианты использования)

Вопрос в том,

почему бы просто не использовать оператор PREPARE, который предоставляет MySQL, и заранее подготовить подготовленные операторы, а затем использовать их в своем PHP-приложении, либо PDO, либо PDO MySQLi? А еще лучше, создавать хранимые процедуры с использованием этих подготовленных операторов и предоставлять только их программистам PHP?

Таким образом, фактическое бремя создания правильных запросов разделяется/обрабатывается программистом базы данных. PHP-программист может полностью сосредоточиться только на реализации и оптимизации приложения.

Я не предвижу каких-либо изменений в базе данных, которую я буду использовать в ближайшее время. MySQL отвечает всем требованиям. Но чтобы мое приложение было чистым и независимым от БД, я мог бы использовать PDO. Или придерживайтесь процедурного кодирования и используйте mysqli

Это действительный/проверенный подход для создания приложения?

Спасибо

Подробнее здесь: https://stackoverflow.com/questions/502 ... i-function

1760960445

Anonymous

Я разрабатываю веб-приложения с использованием PHP и использую MySQL в качестве базы данных. Я пытаюсь понять использование подготовленных операторов и только делаю первые шаги. 

Насколько я понимаю, подготовленные операторы в первую очередь предназначены для:

[list]
[*]Повышения эффективности запроса (предварительный анализ, кеширование плана выполнения, передача двоичных данных между клиентом и сервером)
[*]Обеспечения защиты от атак внедрения кода (по этому поводу не совсем понятно, но я думаю, что у меня есть базовое понимание)
[/list]

(может быть, есть и другие варианты использования)

Вопрос в том, 

почему бы просто не использовать оператор PREPARE, который предоставляет MySQL, и заранее подготовить подготовленные операторы, а затем использовать их в своем PHP-приложении, либо PDO, либо PDO MySQLi? А еще лучше, создавать хранимые процедуры с использованием этих подготовленных операторов и предоставлять только их программистам PHP?

Таким образом, фактическое бремя создания правильных запросов разделяется/обрабатывается программистом базы данных. PHP-программист может полностью сосредоточиться только на реализации и оптимизации приложения.

Я не предвижу каких-либо изменений в базе данных, которую я буду использовать в ближайшее время. MySQL отвечает всем требованиям. Но чтобы мое приложение было чистым и независимым от БД, я мог бы использовать PDO. Или придерживайтесь процедурного кодирования и используйте mysqli

Это действительный/проверенный подход для создания приложения?

Спасибо 

Подробнее здесь: [url]https://stackoverflow.com/questions/5029317/using-prepare-commandsql-vs-pdo-or-mysqli-function[/url]