Comment puis-je réduire la répétition du code lors de l'utilisation d'instructions préparées PHP SQL ?

Éviter la répétition de code avec les instructions préparées PHP SQL

Introduction

Les instructions préparées offrent une technique puissante pour prévenir les attaques par injection SQL et améliorer les performances des requêtes. Cependant, les méthodes traditionnelles de création d'instructions préparées, comme illustrées ci-dessous :

$sql = 'INSERT INTO tasks(task_name, start_date, completed_date) VALUES(:task_name, :start_date, :completed_date)';
$stmt = $this->pdo->prepare($sql);
$stmt->execute([
        ':task_name' => $taskName,
        ':start_date' => $startDate,
        ':completed_date' => $completedDate,
    ]);

entraînent une redondance considérable dans la spécification des noms de champs. Cette redondance peut être frustrante, notamment lors de modifications ou de maintenance du code. Cet article explore trois approches différentes qui peuvent atténuer cette répétition et améliorer la lisibilité de votre code d'instruction préparé.

PHP brut

Pour les insertions de base, une technique simple consiste à omettre la clause field dans la requête et en utilisant des espaces réservés positionnels :

$data = [$taskName, $startDate, $completedDate];
$sql = 'INSERT INTO tasks VALUES(null, ?, ?, ?)';
$db->prepare($sql)->execute($data);

Bien que simple, cette approche peut ne pas convenir dans tous les cas cas.

Fonction d'assistance

Une autre méthode consiste à créer une fonction d'assistance spécifiquement pour la gestion des insertions. Cette fonction peut générer dynamiquement la requête en fonction des noms et valeurs de champs fournis :

function prepared_insert($conn, $table, $data) {
    $keys = array_keys($data);
    $fields = implode(",", $keys);
    $placeholders = str_repeat('?,', count($keys) - 1) . '?';
    $sql = "INSERT INTO $table ($fields) VALUES ($placeholders)";
    $conn->prepare($sql)->execute(array_values($data));
}

L'utilisation de cette fonction d'assistance simplifie le processus d'insertion :

prepared_insert($db, 'tasks',[
    'task_name' => $taskName,
    'start_date' => $startDate,
    'completed_date' => $completedDate,
]);

Baby ORM

L'approche la plus avancée consiste à mettre en œuvre une solution de programmation orientée objet (POO), communément appelée « bébé ORM ». Cette approche définit une classe de base avec des méthodes communes pour les opérations sur les tables et des classes spécifiques pour les tables individuelles :

class UserGateway extends BasicTableGateway {
    protected $table = 'gw_users';
    protected $fields = ['email', 'password', 'name', 'birthday'];
}

Avec cette configuration, les insertions peuvent être effectuées sans spécifier explicitement les noms de champs :

$data = [
    'email' => '[email protected]',
    'password' => 123,
    'name' => 'Fooster',
];

$userGateway = new UserGateway($pdo);

$id = $userGateway->create($data);

Les solutions POO peuvent améliorer considérablement la maintenabilité du code, réduire les répétitions et améliorer l'expérience globale de développement.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!