PDO (PHP Data Objects) è l'interfaccia moderna di PHP, indipendente dal database, per accedere ai database. La sua caratteristica più importante è le prepared statements, che prevengono l'SQL injection — la pratica di sicurezza critica per qualsiasi codice che accede a un database.
= (
,
, ,
[
PDO:: => PDO::, // exceptions on errors
PDO:: => PDO::, // fetch rows associative arrays
]
);
PDO funziona su diversi database (MySQL, PostgreSQL, SQLite, ecc.) con la stessa API. Impostare ERRMODE_EXCEPTION fa sì che gli errori del database lancino eccezioni catturabili.
// ❌ NEVER do this — concatenating user input → SQL INJECTION vulnerability
$result = $pdo->query("SELECT * FROM users WHERE id = " . $_GET['id']);
// input "1 OR 1=1" or "1; DROP TABLE users" → disaster
// ✅ ALWAYS use prepared statements with bound parameters
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ? AND active = ?");
$stmt->execute([$_GET['id'], true]); // parameters bound SAFELY
$user = $stmt->fetch();
// named parameters work too
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(["email" => $email]);
Le prepared statements inviano la SQL e i dati separatamente — il database tratta i parametri come puri dati, mai come SQL eseguibile. Questo rende l'injection impossibile, indipendentemente da ciò che l'utente inserisce. Questo è non negoziabile per qualsiasi query che coinvolge input dell'utente.
$stmt->fetch(); // one row (associative array)
$stmt->fetchAll(); // all rows
$stmt->fetchColumn(); // a single value
// INSERT/UPDATE/DELETE — also use prepared statements
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute([$name, $email]);
$pdo->lastInsertId(); // the new row's ID
$pdo->beginTransaction();
try {
$pdo->prepare("UPDATE accounts SET balance = balance - ? WHERE id = ?")->execute([$amt, $from]);
$pdo->prepare("UPDATE accounts SET balance = balance + ? WHERE id = ?")->execute([$amt, $to]);
$pdo->commit(); // all-or-nothing
} catch (Throwable $e) {
$pdo->rollBack(); // undo on failure
}
L'accesso sicuro al database è uno degli aspetti più critici dal punto di vista della sicurezza dello sviluppo PHP, e PDO con prepared statements è la pratica essenziale che ogni sviluppatore PHP deve conoscere.
L'SQL injection — causato dalla concatenazione diretta di input non affidabile dell'utente nelle query SQL — è una delle vulnerabilità web più comuni e devastanti (che consente agli attaccanti di leggere, modificare o distruggere i dati), ed è completamente prevenibile. Le prepared statements con parametri vincolati sono la soluzione: inviando la struttura SQL e i dati separatamente, il database tratta l'input dell'utente come puri dati che non possono mai essere eseguiti come SQL, rendendo l'injection impossibile indipendentemente dall'input.
Comprendere che devi sempre utilizzare prepared statements per qualsiasi query che coinvolge input dell'utente (mai concatenazione di stringhe) è una conoscenza non negoziabile e essenziale per la sicurezza.
Inoltre alla sicurezza, l'interfaccia indipendente dal database di PDO, la gestione degli errori basata su eccezioni, il recupero flessibile dei risultati e il supporto delle transazioni lo rendono il modo robusto e moderno per accedere ai database in PHP.
Poiché l'accesso al database è fondamentale per la maggior parte delle applicazioni e l'SQL injection è sia comune che catastrofico, padroneggiare PDO e la disciplina assoluta delle prepared statements è tra le cose più importanti che uno sviluppatore PHP deve comprendere — è la differenza tra un'applicazione sicura e una vulnerabile a un attacco serio e ben noto. (Framework come Laravel utilizzano PDO sotto il cofano con query builder/ORM sicuri, ma il principio sottostante rimane.)