483 19 PHP Pdo

PHP
PDO
Jrme CUTRONA
jerome.cutrona@univ-reims.fr
22:29:23 Programmation Web 2013-2014 1

PDO
PDO : PHP Data Objects

Extension PHP fournissant une interface pour
accder une base de donnes
Fournit une interface d'abstraction pour l'accs
aux donnes
Ne fournit PAS une abstraction de base de
donnes
SQL spcifique au moteur
Fonctionnalits prsentes / absentes
Interface oriente objet

Bases de donnes supportes
Nom du driver Bases de donnes supportes
PDO_DBLIB FreeTDS / Microsoft SQL Server / Sybase
PDO_FIREBIRD Firebird/Interbase 6
PDO_IBM IBM DB2
PDO_INFORMIX IBM Informix Dynamic Server
PDO_MYSQL MySQL 3.x/4.x/5.x
PDO_OCI Oracle Call Interface
PDO_ODBC ODBC v3 (IBM DB2, unixODBC et win32 ODBC)
PDO_PGSQL PostgreSQL
PDO_SQLITE SQLite 3 et SQLite 2
PDO_4D 4D

Classes prdfinies
PDO :
connexion PHP / base de donnes
__construct()
exec(), prepare(), query()
errorCode(), errorInfo()
getAttributes(), setAttribute()
lastInsertId(), quote()
beginTransaction()
commit(), rollBack()
getAvailableDrivers()

Classes prdfinies
PDOStatement :
requte prpare, jeu de rsultats
bindColumn(), bindParam(), bindValue(),
closeCursor()
errorCode(), errorInfo()
fetch(), fetchAll(), fetchColumn(), fetchObject(),
setFetchMode(), nextRowset()
rowCount(), columnCount(), getColumnMeta()
getAttribute(), setAttribute()
execute()
debugDumpParams()

Connexions et gestionnaire de connexion
Instanciation d'un objet PDO

$dbh=new PDO(DSN [, user [, pass [, options]]]);
DSN : Data Source Name
nom_du_driver:syntaxe_spcifique_au_driver
Ex : mysql:host=localhost;dbname=ma_base
user : nom d'utilisateur, pass : mot de passe
options : tableau associatif
spcifiques au driver
Ex : array(PDO::ATTR_PERSISTENT => true)) ;
Fin de connexion : $dbh=null ; ou unset($dbh) ;
Gestion des erreurs de connexion
Connexion par construction d'un objet

Gestion envisageable des erreurs
Aucune
Fin brutale (exit, die)
tat
Exception
En cas d'erreur de connexion
Objet PDOException lanc
PDOException hrite de Exception

Gestion des erreurs de connexion
<?php
try {
$dbh = new PDO('mysql:host=h;dbname=db',
$user, $pass) ;

$dbh = null ;
}
catch (PDOException $e) {
echo "Erreur: ".$e->getMessage()."<br/>" ;
die() ;
}
?>

Gestion des erreurs (hormis connexion)
PDO::ERRMODE_SILENT (par dfaut)

Mode silencieux, mise en place d'un code d'erreur
PDO : errorCode() / errorInfo()
PDOStatement : errorCode() / errorInfo()
PDO::ERRMODE_WARNING
Mise en place du code d'erreur
mission d'une erreur de type E_WARNING
PDO::ERRMODE_EXCEPTION
Mise en place du code d'erreur
Objet PDOException lanc

Gestion des erreurs (hormis connexion)
<?php
try {
$dbh = new PDO('mysql:host=h;dbname=db',
$user, $pass) ;
$dbh->setAttribute(PDO::ATTR_ERRMODE,
PDO::ERRMODE_EXCEPTION);

$dbh = null ;
}
catch (PDOException $e) {
echo "Erreur: ".$e->getMessage()."<br/>" ;
die() ;
}
?>
Gestion des erreurs : code d'erreur
<?php
$pdo = new PDO("mysql:host=localhost") ;
$pdostat = $pdo->query("COUCOU") ;
if ($pdo->errorCode()) {
echo "ERREUR !!\n" ; Code SQLSTATE
echo "<pre>\n" ;
var_dump($pdo->errorInfo()) ;
echo "</pre>\n" ; Code erreur spcifique
} du driver
?>
ERREUR !!
array(3) { Chane erreur
[0]=> string(5) "42000" spcifique au driver
[1]=> int(1064)
[2]=> string(47) "Erreur de syntaxe prs de 'COUCOU' la ligne 1"
}

Gestion des erreurs : exceptions
<?php
try {
$pdo->setAttribute(PDO::ATTR_ERRMODE,
PDO::ERRMODE_EXCEPTION) ;
$pdostat = $pdo->query("COUCOU") ;
} Code erreur spcifique
du driver
catch (Exception $e) {
echo "ERREUR : ".$e->getMessage() ;
Code SQLSTATE Chane erreur
}
spcifique au driver
?>
ERREUR : SQLSTATE[42000]: Syntax error or access violation: 1064
Erreur de syntaxe prs de 'COUCOU' la ligne 1

Excution d'une requte
PDOStatement PDO::query ( string statement )
Rsultat de requte Requte
<?php
try {
$pdostat = $pdo->query("SELECT * FROM clients") ;
}
}
?>
Exploitation des rsultats d'une requte
Rcupration des donnes ligne ligne

Une ligne peut tre :
un tableau index
un tableau associatif
un tableau mixte (par dfaut)
un objet anonyme
un objet d'une classe dfinie par l'utilisateur
Rcupration des donnes d'une colonne

Exploitation des rsultats d'une requte (1)
try {
$pdo=new PDO("mysql:host=localhost;dbname=mysql") ;
$pdostat = $pdo->query("SELECT * FROM user") ;
$pdostat->setFetchMode(PDO::FETCH_ASSOC) ;
foreach ($pdostat as $ligne) {
echo implode(';', $ligne)."<br>\n" ;
}
}
}

try {
foreach ($pdostat->fetchAll(PDO::FETCH_ASSOC)
as $ligne) {
}
}
}

try {
while ($ligne
= $pdostat->fetch(PDO::FETCH_ASSOC)) {
}
}
}

Modes de rcupration des donnes (1)
PDO::FETCH_ASSOC
retourner chaque ligne dans un tableau index par les
noms des colonnes comme elles sont retournes
dans le jeu de rsultats correspondant. Si le jeu de
rsultats contient de multiples colonnes avec le
mme nom, PDO::FETCH_ASSOC retourne une
seule valeur par nom de colonne.
PDO::FETCH_NUM

retourner chaque ligne dans un tableau index par le
numro des colonnes comme elles sont retournes
dans le jeu de rsultats correspondant, en
commenant 0.

PDO::FETCH_BOTH
retourner chaque ligne dans un tableau index par les
noms des colonnes ainsi que leurs numros, comme
elles sont retournes dans le jeu de rsultats
correspondant, en commenant 0.
PDO::FETCH_OBJ
retourner chaque ligne dans un objet avec les noms
de proprits correspondant aux noms des colonnes
comme elles sont retournes dans le jeu de rsultats.

PDO::FETCH_BOUND
retourner true et assigner les valeurs des colonnes
du jeu de rsultats dans les variables PHP auxquelles
elles sont lies avec la mthode
PDOStatement::bindParam() ou la mthode
PDOStatement::bindColumn().
PDO::FETCH_CLASS |
PDO::FETCH_CLASSTYPE
retourner une nouvelle instance de la classe
demande, liant les colonnes aux proprits
nommes dans la classe.
Nom de la classe = 1re colonne.
PDO::FETCH_INTO
met jour une instance existante de la classe
demande, liant les colonnes du jeu de rsultats aux
noms des proprits de la classe.
PDO::FETCH_LAZY
retourner chaque ligne en tant qu'objet avec les noms
des attributs correspondant aux noms des colonnes
retournes dans le jeu de rsultats.
PDO::FETCH_LAZY cre les noms des attributs de
l'objet comme ils sont rencontrs.

Prparation d'une requte
Droulement d'une requte SQL

1. Analyse
2. Compilation
3. Optimisation
4. Excution
Excution rpte d'une requte : 1+2+3+4
Prparation d'une requte : 1+2+3
Excution rpte d'une requte prpare : 4
Prparation en fonction de paramtres :
Anonymes

Nomms
Prparation d'une requte
PDOStatement PDO::prepare(string statement [,

array driver_options])
statement : la requte prparer. Peut contenir des
paramtres anonymes (?) ou nomms (:nom)
driver_options : tableau d'options du driver
retourne un objet PDOStatement qui effectuera
l'association des paramtres et excutera la requte
$pdostat = $pdo->prepare(
"SELECT * FROM user WHERE User= ?") ;

Association des paramtres d'une requte
bool PDOStatement::bindValue(mixed parameter,

mixed value [, int data_type])

parameter : le paramtre (nom ou position [1n])
value : sa valeur

data_type : le type de la valeur
PDO::PARAM_BOOL boolen.
PDO::PARAM_NULL NULL SQL.
PDO::PARAM_INT INTEGER SQL.
PDO::PARAM_STR CHAR, VARCHAR ou autre chane.
PDO::PARAM_LOB "objet large" SQL.
bool PDOStatement::execute([array parameters])

parameters : tableau associatif ou index des valeurs
Prparation puis excution d'une requte (1)
$pdostat->bindValue(1, 'root') ;
$pdostat->execute() ; paramtre anonyme
// Utilisation du rsultat
$pdostat->bindValue(1, 'cutrona') ;
$pdostat->execute() ;
Association
Prparation
Association d'une valeur
Excution
d'une valeur
delalarequte
de au
requte
au 1er paramtre
1er paramtre

"SELECT * FROM user WHERE User= :utilisateur") ;
$pdostat->bindValue(':utilisateur', 'root') ;
$pdostat->execute() ; paramtre nomm
$pdostat->bindValue(':utilisateur', 'cutrona') ;
$pdostat->execute() ;
Association
Prparation
Excution
d'une valeur
de
dela
au
larequte
requte
paramtre nomm

$pdostat->execute(array('root')) ;
// Utilisation du rsultat paramtre anonyme
$pdostat->execute(array('cutrona')) ;
Association
Association
Prparation
Excution
d'une
d'une valeur
valeur
de
delalaau
requte
au
requte
1er
1er paramtre
paramtre

"SELECT * FROM user WHERE User= :utilisateur") ;
$pdostat->execute(
paramtre
array(':utilisateur' => 'root'nomm
)) ;
$pdostat->execute(
array(':utilisateur' => 'cutrona')) ;
Association
Prparation
Excution
d'une valeur
de
dela
au
larequte
requte
paramtre nomm

Intrt des requtes prpares
Amlioration des performances en cas

d'excutions rptes
mulation faite par PDO si le driver ne les

supporte pas nativement
Protection automatique des valeurs des

paramtres pour interdire les attaques par
injection de code SQL

Attaque par injection SQL ?
Ex : validation d'un login/pass sur un site

Requte consistant trouver un enregistrement
correspondant au couple login/pass fourni par
l'utilisateur
SELECT *
FROM membre
WHERE mail='{$_GET['mail']}'
AND passwd='{$_GET['passwd']}'
Et si on essayait de fournir un mot de passe un
peu particulier

Exemple concret d'injection SQL (1)
$pdo = new PDO('mysql:host=localhost;dbname=test') ;

$pdostat = $pdo->query($req = <<<SQL
SELECT *
FROM membre
WHERE mail='{$_GET['mail']}'
AND passwd='{$_GET['passwd']}'
SQL
) ;
echo "Requte:\n$req\n" ;
if ($utilisateur = $pdostat->fetch())
echo "Bienvenue {$utilisateur['nom']}" ;
else
echo "Dsol..." ;

Saisie de l'utilisateur :
mail : whatever
pass : who_cares?
URL :
?mail=whatever&passwd=who_cares?
Requte:
SELECT *
FROM membre
WHERE mail='whatever'
AND passwd='who_cares?'
Dsol...

Saisie de l'utilisateur :
mail : whatever
pass : who_cares?' OR true!='
URL :
?mail=whatever&passwd=who_cares?'%20OR%20true!='
Requte:
SELECT *
FROM membre
WHERE mail='whatever'
AND passwd='who_cares?' OR true!=''
Bienvenue John

Protection contre les injections SQL (1)
$pdo = new PDO('mysql:host=localhost;dbname=test') ;

$pdostat = $pdo->prepare($req = <<<SQL
SELECT *
FROM membre
WHERE mail=?
AND passwd=?
SQL
) ;
$pdostat->execute(array($_GET['mail'],
$_GET['passwd'])) ;
if ($utilisateur = $pdostat->fetch())
{ echo "Bienvenue {$utilisateur['nom']}\n" ; }
else { echo "Dsole...\n" ; }

$pdo = new PDO('mysql:host=localhost;dbname=test ') ;
$mail = $pdo->quote($_GET['mail']) ;
$passwd = $pdo->quote($_GET['passwd']) ;
$pdostat = $pdo->query($req = <<<SQL
SELECT *
FROM membre
WHERE mail=$mail
AND passwd=$passwd
SQLRequte:
) ; SELECT *
FROM membre
echo "Requte: \n$req\n" ;
WHERE mail=
if ($utilisateur 'whatever
= $pdostat ' ())
->fetch
AND "passwd=
{ echo 'who_cares?
Bienvenue {$utilisateur\'['nom
OR 'true!=
]}\n" ; \}''
Dsol...
else { echo "Dsole...\n" ; }
mysql_connect('localhost'); mysql_select_db('test');
$mail = mysql_real_escape_string ($_GET['mail']);
$passwd = mysql_real_escape_string ($_GET['passwd']);
$res = mysql_query($req = <<<SQL
SELECT * FROM membre
WHERE mail='$mail'
AND passwd='$passwd'
SQL
Requte:
) ;
SELECT * ($res) == 1 ) {
if (mysql_num_rows
FROM membre
$utilisateur = mysql_fetch_assoc($res) ;
echo "WHERE mail='
Bienvenue whatever['
{$utilisateur 'nom']}\n" ;
} AND passwd='who_cares?\' OR true!=\''
Dsol...
else { echo "Desole...\n" ; }
Transactions
Transactions :
Atomicit, Consistance, Isolation et Durabilit
BEGIN puis COMMIT ou ROLLBACK
Mode PDO par dfaut :
Chaque requte est valide automatiquement
PDO::beginTransaction()
PDO::commit()
PDO::rollBack()
Tous les moteurs ne supportent pas les
transactions PDOException

483 19 PHP Pdo

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

483 19 PHP Pdo

Transféré par

Droits d'auteur :

Formats disponibles

PHP

22:29:23 Programmation Web 2013-2014 1

PDO : PHP Data Objects

Fonctionnalits prsentes / absentes

Interface oriente objet

22:29:31 Programmation Web 2013-2014 3

22:29:34 Programmation Web 2013-2014 4

22:29:38 Programmation Web 2013-2014 5

Instanciation d'un objet PDO

Connexion par construction d'un objet

22:29:45 Programmation Web 2013-2014 7

22:29:49 Programmation Web 2013-2014 8

PDO::ERRMODE_SILENT (par dfaut)

22:29:53 Programmation Web 2013-2014 9

22:30:00 Programmation Web 2013-2014 11

22:30:03 Programmation Web 2013-2014 12

PDOStatement PDO::query ( string statement )

Rsultat de requte Requte

Rcupration des donnes ligne ligne

22:30:11 Programmation Web 2013-2014 14

22:30:14 Programmation Web 2013-2014 15

22:30:18 Programmation Web 2013-2014 16

22:30:22 Programmation Web 2013-2014 17

22:30:25 Programmation Web 2013-2014 18

22:30:29 Programmation Web 2013-2014 19

22:30:36 Programmation Web 2013-2014 21

Droulement d'une requte SQL

PDOStatement PDO::prepare(string statement [,

22:30:43 Programmation Web 2013-2014 23

bool PDOStatement::bindValue(mixed parameter,

22:30:51 Programmation Web 2013-2014 25

22:30:54 Programmation Web 2013-2014 26

22:30:58 Programmation Web 2013-2014 27

22:31:02 Programmation Web 2013-2014 28

Amlioration des performances en cas

mulation faite par PDO si le driver ne les

Protection automatique des valeurs des

22:31:05 Programmation Web 2013-2014 29

Ex : validation d'un login/pass sur un site

22:31:09 Programmation Web 2013-2014 30

$pdo = new PDO('mysql:host=localhost;dbname=test') ;

22:31:13 Programmation Web 2013-2014 31

22:31:16 Programmation Web 2013-2014 32

22:31:20 Programmation Web 2013-2014 33

$pdo = new PDO('mysql:host=localhost;dbname=test') ;

22:31:23 Programmation Web 2013-2014 34

Vous aimerez peut-être aussi