PDO (PHP Data Objects) je modern sučelje PHP-a, neovisno o bazi podataka, za pristup bazama podataka. Njegova najvažnija značajka su pripremljene izjave (prepared statements), koje sprječavaju SQL injection — kritična sigurnosna praksa za bilo koji kod koji radi s bazom podataka.
= (
,
, ,
[
PDO:: => PDO::, // exceptions on errors
PDO:: => PDO::, // fetch rows associative arrays
]
);
PDO radi preko baza podataka (MySQL, PostgreSQL, SQLite, itd.) s istim sučeljem. Postavljanje ERRMODE_EXCEPTION čini da greške baze podataka bacaju hvatljive iznimke.
// ❌ NEVER do this — concatenating user input → SQL INJECTION vulnerability
$result = $pdo->query("SELECT * FROM users WHERE id = " . $_GET['id']);
// input "1 OR 1=1" or "1; DROP TABLE users" → disaster
// ✅ ALWAYS use prepared statements with bound parameters
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ? AND active = ?");
$stmt->execute([$_GET['id'], true]); // parameters bound SAFELY
$user = $stmt->fetch();
// named parameters work too
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(["email" => $email]);
Pripremljene izjave šalju SQL i podatke odvojeno — baza podataka tretira parametre kao čiste podatke, nikada kao izvršivi SQL. To čini injection nemogućom, bez obzira što korisnik unese. Ovo je nenegocijabilno za bilo koji upit koji uključuje korisnikov unos.
$stmt->fetch(); // one row (associative array)
$stmt->fetchAll(); // all rows
$stmt->fetchColumn(); // a single value
// INSERT/UPDATE/DELETE — also use prepared statements
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute([$name, $email]);
$pdo->lastInsertId(); // the new row's ID
$pdo->beginTransaction();
try {
$pdo->prepare("UPDATE accounts SET balance = balance - ? WHERE id = ?")->execute([$amt, $from]);
$pdo->prepare("UPDATE accounts SET balance = balance + ? WHERE id = ?")->execute([$amt, $to]);
$pdo->commit(); // all-or-nothing
} catch (Throwable $e) {
$pdo->rollBack(); // undo on failure
}
Signuran pristup bazi podataka je jedan od najkritičnijih sigurnosnih aspekata PHP razvoja, i PDO s pripremljenim izjavama je bitna praksa koju mora znati svaki PHP razvojni inženjer.
SQL injection — uzrokovan spojivanjem nepouzdanog korisničkog unosa izravno u SQL upite — je jedna od najčešćih i najdestruktivnijih web ranjivosti (omogućujući napadačima čitanje, izmjenu ili uništavanje podataka), i potpuno je sprječiva. Pripremljene izjave s vezanim parametrima su rješenje: slanjem SQL strukture i podataka odvojeno, baza podataka tretira korisnički unos kao čiste podatke koji nikada ne mogu biti izvršeni kao SQL, čineći injection nemogućom bez obzira na unos.
Razumijevanje da morate uvijek koristiti pripremljene izjave za bilo koji upit koji uključuje korisnički unos (nikada spajanje stringova) je nenegocijabilno, sigurnosno-bitno znanje.
Bez sigurnosti, PDO-ovo sučelje neovisno o bazi podataka, rukovanje greškama bazirano na iznimkama, fleksibilno dohvaćanje rezultata i podrška za transakcije čine ga robusnim, modernim načinom pristupa bazama podataka u PHP-u.
Budući da je pristup bazi podataka temeljan za većinu aplikacija i SQL injection je i česta i katastrofalna, ovladavanje PDO-om i apsolutnom disciplinom pripremljenih izjava je među najvažnijim stvarima koje PHP razvojni inženjer mora razumjeti — to je razlika između sigurne aplikacije i one ranjive na ozbiljnu, dobro poznatu napad. (Okviri poput Laravela koriste PDO ispod maske sa sigurnim konstruktorima upita/ORM-ovima, ali temeljni princip ostaje isti.)