دستورات آماده در MySQL

دستورهای آماده (Prepared Statements) در MySQL یکی از ویژگی‌های مهم برای بهبود امنیت و کارایی در اجرای دستورات هستند.

این ویژگی به شما امکان می‌دهد که یک دستور SQL را از قبل تعریف کرده و سپس آن را با پارامترهای مختلف اجرا کنید.

با استفاده از دستورات آماده، می‌توان خطر حملات SQL Injection را کاهش داد.

برای افزودن سطر جدید در جئول از روش دستورات آماده، باید به جای column علامت ? بگذاریم.

برای مثال ذر جدول users که تنها دو ستون نام و تلفن دارد از این دستور استفاده می کنیم و دستورات آماده را اجرا می کنیم.

PREPARE stmt FROM 'INSERT INTO users (name, phone) VALUES (?, ?)';

در ادامه برای جایگذاری مقدار جدید به جای ? از دستور SET به شکل زیر استفاده می کنیم.

SET @name = 'Alireza';
SET @phone = '09123456789';

سپس با دستور EXECUTE دستورSQL را اجرا می کنیم.

EXECUTE stmt USING @name, @phone;

در آخر اجرای دستورات آماده را می بندیم.

DEALLOCATE PREPARE stmt;

یکی از روش های استفاده از دستورات آماده در برنامه، روش mysqli است که با یک مثال این روش را بررسی می کنیم.

پس از اتصال به پایگاه داده متغیر stmt را ایجاد می کنیم و دستور SQL را در آن با دستور prepare ذخیره می کنیم.

$stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (?, ?)");

از طریق متد ()bind_param نوع داده قابل دخیره در ستون ها را به ترتیب می نویسیم.

در این مثال ss به معنای این است که هردو داده از نوع رشته (string) هستند.

$stmt->bind_param("ss", $name, $email);

در ادامه به متغیرهای نام و ایمیل مقدار جدید را می دهیم.

در آخر با متد ()execute دستورات را اجرا می کنیم.

$name = "Alireza";
$email = "Alireza@email.com";
$stmt->execute();

در انتهای برنامه دستورات آماده و اتصال به پایگاه داده را می بندیم.

$stmt->close();
$conn->close();