PDO (PHP Data Objects) هو واجهة حديثة في PHP، غير معتمدة على قاعدة بيانات معينة، للوصول إلى قواعد البيانات. ميزتها الأهم هي prepared statements، التي تمنع SQL injection — وهي الممارسة الأمنية الحرجة لأي كود يتعامل مع قواعد البيانات.
= (
,
, ,
[
PDO:: => PDO::, // exceptions on errors
PDO:: => PDO::, // fetch rows associative arrays
]
);
يعمل PDO عبر قواعد البيانات المختلفة (MySQL، PostgreSQL، SQLite، إلخ) بنفس الواجهة البرمجية. تعيين ERRMODE_EXCEPTION يجعل أخطاء قاعدة البيانات تطرح استثناءات قابلة للالتقاط.
// ❌ NEVER do this — concatenating user input → SQL INJECTION vulnerability
$result = $pdo->query("SELECT * FROM users WHERE id = " . $_GET['id']);
// input "1 OR 1=1" or "1; DROP TABLE users" → disaster
// ✅ ALWAYS use prepared statements with bound parameters
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ? AND active = ?");
$stmt->execute([$_GET['id'], true]); // parameters bound SAFELY
$user = $stmt->fetch();
// named parameters work too
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(["email" => $email]);
الجمل المحضرة ترسل SQL والبيانات بشكل منفصل — قاعدة البيانات تتعامل مع المعاملات كبيانات نقية، وليس أبداً كـ SQL قابل للتنفيذ. هذا يجعل الحقن مستحيلاً، بغض النظر عن ما يدخله المستخدم. هذا أمر لا يمكن التفاوض عليه لأي استعلام يتضمن إدخال المستخدم.
$stmt->fetch(); // one row (associative array)
$stmt->fetchAll(); // all rows
$stmt->fetchColumn(); // a single value
// INSERT/UPDATE/DELETE — also use prepared statements
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute([$name, $email]);
$pdo->lastInsertId(); // the new row's ID
$pdo->beginTransaction();
try {
$pdo->prepare("UPDATE accounts SET balance = balance - ? WHERE id = ?")->execute([$amt, $from]);
$pdo->prepare("UPDATE accounts SET balance = balance + ? WHERE id = ?")->execute([$amt, $to]);
$pdo->commit(); // all-or-nothing
} catch (Throwable $e) {
$pdo->rollBack(); // undo on failure
}
الوصول الآمن إلى قاعدة البيانات هو أحد الجوانب الأكثر حساسية من حيث الأمان في تطوير PHP، وPDO مع prepared statements هي الممارسة الأساسية التي يجب أن يعرفها كل مطور PHP.
SQL injection — الناجمة عن ربط إدخال المستخدم غير الموثوق به مباشرة في استعلامات SQL — هي واحدة من أكثر الثغرات الأمنية الويب شيوعاً وتدميراً (مما يسمح للمهاجمين بقراءة البيانات أو تعديلها أو تدميرها)، وهي قابلة للوقاية تماماً. الجمل المحضرة مع المعاملات المرتبطة هي الحل: بإرسال هيكل SQL والبيانات بشكل منفصل، قاعدة البيانات تتعامل مع إدخال المستخدم كبيانات نقية لا يمكن أبداً تنفيذها كـ SQL، مما يجعل الحقن مستحيلاً بغض النظر عن الإدخال.
فهم أنه يجب عليك دائماً استخدام جمل محضرة لأي استعلام يتضمن إدخال المستخدم (لا تستخدم ربط السلاسل النصية أبداً) هو معرفة أساسية لا يمكن التفاوض عليها وضرورية من حيث الأمان.
بخلاف الأمان، الواجهة غير المعتمدة على قاعدة بيانات معينة في PDO، ومعالجة الأخطاء القائمة على الاستثناءات، وجلب النتائج المرن، وتوفر دعم المعاملات جعلتها الطريقة القوية والحديثة للوصول إلى قواعس البيانات في PHP.
بما أن الوصول إلى قاعدة البيانات هو أساسي لمعظم التطبيقات و SQL injection شائع وكارثي، فإن إتقان PDO والانضباط المطلق في استخدام الجمل المحضرة هو من أهم الأشياء التي يجب أن يفهمها مطور PHP — إنه الفرق بين تطبيق آمن وتطبيق عرضة لهجوم خطير معروف. (الأطر مثل Laravel تستخدم PDO تحت الغطاء مع منشئات استعلامات آمنة/ORMs، لكن المبدأ الأساسي يبقى كما هو.)