Marqueur nommé ou interrogatif pour les requetes préparées ?

[sff]

Bonjour,

je commence à me poser vraiment la question concernant les marqueurs. Il est vraiment que les marqueurs interrogatifs sont vraiment plus simple à mettre en place, mais qu'elle est réellement la préconisation lorsque l'on fait des requetes préparées ? J'ai l'impréssion que bindValue et les différents paramètres que l'on ajoute lors des requêtes nommés ne sont que accessoire pour la sécurité.

Marqueur interrogatif :

$sql = "SELECT id FROM test WHERE id_ad = ? AND title LIKE  ? LIMIT 1";
 
$requete = $bdd -> prepare($sql);
$requete->execute(array($id_ad, $title));

Marqueur nommé :

$sql = "SELECT id FROM test WHERE id_ad = :id_ad AND title LIKE  :title LIMIT 1";
 
$requete = $bdd -> prepare($sql);
 
$requete ->bindValue(':id_ad', $id_ad, PDO::PARAM_INT);
$requete ->bindValue(':title', $title, PDO::PARAM_STR);
 
$requete->execute();

Merci pour vos conseils.

 

[rick38]

C'est juste que quand c'est nommé, c'est plus simple de s'y retrouver, moins d'erreur possible : quand on modifie la requête, ajoute un paramètre entre deux, il faut pas se tromper dans l'ordre quand ce n'est pas nommé.
Quand c'est possible, j'utilise les paramètres nommés, mais j'ai eu un cas où ça n'était pas possible (à la cause de la base qui ne les acceptait pas où de l'ORM je ne sais plus).

 

[sff]

Jusqu'a présent j'utilise essentiellement les marqueurs nommés et j'ai l'impression d’être un peu un extraterrestre quand je consulte les forums. Beaucoup de monde privilégie les marqueur interrogatifs visiblement.

 

[sff]

Et finalement quel est l'interet de bindValue et PDO:ARAM_INT ou PDO:ARAM_STR si on peut faire sans ?

Est ce que c'est pour renforcer la sécurité contre les injection sql par exemple ?

 

[rick38]

Jusqu'a présent j'utilise essentiellement les marqueurs nommés et j'ai l'impression d’être un peu un extraterrestre quand je consulte les forums. Beaucoup de monde privilégie les marqueur interrogatifs visiblement.

Ah bon ! Peut-être en PHP, mais je fréquente d'autres domaines (Delphi, .NET...) où c'est le contraire, où le plus important est que ce soit un code clair et compréhenisble pour un travail en équipe professionnel...

Et finalement quel est l'interet de bindValue et PDO:ARAM_INT ou PDO:ARAM_STR si on peut faire sans ?

Est ce que c'est pour renforcer la sécurité contre les injection sql par exemple ?

A priori ici non, ça ne semble servir à pas grand chose (et même à rien) d'après ce que j'ai lu, mais il faudrait investiguer davatange.
Car des gens disent que ça ne lève même pas d'erreur (si on met par exemple un integer alors qu'on attend une string).
Le seul cas utile, ça semble être de forcer la conversion d'un integer en booléen ou inversement d'un booléen en integer.

 

[spout]

Je préfère clairement les paramètres nommés.

 

[sff]

spout tu es plutot partisan de ceci :

$sql = "SELECT id FROM test WHERE id_ad = :id_ad AND title LIKE  :title LIMIT 1";

$requete = $bdd -> prepare($sql);

$requete->execute(array('id_ad' => $id_ad, 'title' => $title));

ou cela ? :

$sql = "SELECT id FROM test WHERE id_ad = :id_ad AND title LIKE  :title LIMIT 1";

$requete = $bdd -> prepare($sql);

$requete ->bindValue(':id_ad', $id_ad, PDO::PARAM_INT);
$requete ->bindValue(':title', $title, PDO::PARAM_STR);
 
$requete->execute();

 

[spout]

C'est pas comparable, mais j'utilise plus souvent le 1°, la différence c'est qu'il va mettre des quotes sur un string et pas sur un integer. Avec MySQL osef, mais avec un vrai SGBD comme Oracle ou PostgreSQL pas.

Par contre je préfère :

DB::select("SELECT id FROM test WHERE id_ad = :id_ad AND title LIKE  :title", compact('id_ad', 'title'));

Ou encore mieux :

Test::whereIdAd($idAd)->whereTitle($title)->get()->first();

 

[sff]

Tu utilise quelle class pour les requetes ?

 

[spout]

Eloquent de Laravel, mais ça fonctionne aussi en standalone :
https://github.com/illuminate/database