Prepared Statements sind eines der wichtigsten Konzepte beim Arbeiten mit Datenbanken in PHP. Sie sorgen für Sicherheit, saubere Trennung von Code und Daten und machen SQL-Abfragen robuster.
Prepared Statements verhindern, dass Benutzereingaben den Aufbau deiner SQL-Abfrage verändern können.
Ein häufiger Anfängerfehler ist, SQL-Abfragen per String zusammenzubauen:
$username = $_POST['username'];
$sql = "SELECT * FROM users WHERE username = '$username'";
Das ist gefährlich, weil der Inhalt von $username
den SQL-Befehl verändern könnte (SQL-Injection).
Selbst wenn du Anführungszeichen „entschärfst“, bleibt das Grundproblem bestehen. Die Lösung heißt: Prepared Statements.
Bei Prepared Statements trennst du:
Die Daten werden erst später eingesetzt und können den SQL-Befehl nicht mehr verändern.
?)Die einfachste Form nutzt Fragezeichen als Platzhalter. Die Werte werden später in der richtigen Reihenfolge übergeben.
$sql = "SELECT * FROM users WHERE email = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute([
"test@example.com"
]);
Der erste Wert im Array gehört zum ersten ?,
der zweite zum zweiten usw.
:name)Oft besser lesbar sind benannte Platzhalter. Hier bekommen die Platzhalter einen Namen.
$sql = "
SELECT *
FROM users
WHERE email = :email
";
$stmt = $pdo->prepare($sql);
$stmt->execute([
':email' => 'test@example.com',
]);
Gerade bei vielen Parametern ist sofort klar, welcher Wert wofür gedacht ist.
In modernen PHP-Anwendungen gibt es praktisch keinen Grund, auf Prepared Statements zu verzichten.
Jetzt weißt du, wie Abfragen sicher vorbereitet werden. Im nächsten Schritt schauen wir uns an, wie man Ergebnisse aus der Datenbank abruft und verarbeitet.
fetch(), fetchAll() und Fetch-Modi wie
FETCH_ASSOC stehen dort im Fokus.