Requêtes préparées et paramétrées

Définition : Requête préparée et paramétrée

L'étape de préparation de requête permet de précompiler une requête SQL côté serveur. Cela permet d'optimiser les performances lorsqu'une requête est utilisée plusieurs fois.

Cela permet également de paramétrer les requêtes au niveau d'un langage applicatif (comme PHP) sans utiliser de concaténation de chaîne (ce qui renforce notamment la sécurité du code).

Conseil :

Utiliser des requêtes paramétrées au niveau des langages applicatifs.

Exemple : Requête INSERT non préparée en PHP (déprécié)

$result = $connexion->query("INSERT INTO medicament (nom) VALUES ('Nouveau')");

$result = $connexion->query("INSERT INTO medicament (nom) VALUES ('Nouveau')");

Exemple : Requête INSERT préparée en PHP

$result = $connexion->prepare("INSERT INTO medicament (nom) VALUES ('Nouveau')");
$result->execute();

$result = $connexion->prepare("INSERT INTO medicament (nom) VALUES ('Nouveau')");
$result->execute();

Exemple : Requête INSERT préparée et paramétrée en PHP (bindValue)

$result = $connexion->prepare("INSERT INTO medicament (nom) VALUES (:param1)");
$result->bindValue('param1', $name, PDO::PARAM_STR);
$result->execute();

$result = $connexion->prepare("INSERT INTO medicament (nom) VALUES (:param1)");
$result->bindValue('param1', $name, PDO::PARAM_STR);
$result->execute();

Exemple : Requête INSERT préparée et paramétrée en PHP (bindParam)

$result = $connexion->prepare("INSERT INTO medicament (nom) VALUES (:param1)");
$result->bindParam(':param1', $name, PDO::PARAM_STR);
$name = "Nouveau1";
$result->execute();
$name = "Nouveau2";
$result->execute();

$result = $connexion->prepare("INSERT INTO medicament (nom) VALUES (:param1)");
$result->bindParam(':param1', $name, PDO::PARAM_STR);

$name = "Nouveau1";
$result->execute();

$name = "Nouveau2";
$result->execute();

Complément : Requête préparée en PHP

http://php.net/manual/fr/pdo.prepared-statements.php