PDO (PHP Data Objects) é a interface moderna, agnóstica de banco de dados do PHP para acessar bancos de dados. Seu recurso mais importante são as prepared statements, que previnem SQL injection — a prática crítica de segurança para qualquer código de banco de dados.
= (
,
, ,
[
PDO:: => PDO::, // exceptions on errors
PDO:: => PDO::, // fetch rows associative arrays
]
);
PDO funciona em diferentes bancos de dados (MySQL, PostgreSQL, SQLite, etc.) com a mesma API. Definir ERRMODE_EXCEPTION faz com que erros de banco de dados lancem exceções capturáveis.
// ❌ NEVER do this — concatenating user input → SQL INJECTION vulnerability
$result = $pdo->query("SELECT * FROM users WHERE id = " . $_GET['id']);
// input "1 OR 1=1" or "1; DROP TABLE users" → disaster
// ✅ ALWAYS use prepared statements with bound parameters
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ? AND active = ?");
$stmt->execute([$_GET['id'], true]); // parameters bound SAFELY
$user = $stmt->fetch();
// named parameters work too
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(["email" => $email]);
Prepared statements enviam o SQL e os dados separadamente — o banco de dados trata os parâmetros como dados puros, nunca como SQL executável. Isso torna a injeção impossível, independentemente do que o usuário insira. Isso é inegociável para qualquer consulta envolvendo entrada do usuário.
$stmt->fetch(); // one row (associative array)
$stmt->fetchAll(); // all rows
$stmt->fetchColumn(); // a single value
// INSERT/UPDATE/DELETE — also use prepared statements
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute([$name, $email]);
$pdo->lastInsertId(); // the new row's ID
$pdo->beginTransaction();
try {
$pdo->prepare("UPDATE accounts SET balance = balance - ? WHERE id = ?")->execute([$amt, $from]);
$pdo->prepare("UPDATE accounts SET balance = balance + ? WHERE id = ?")->execute([$amt, $to]);
$pdo->commit(); // all-or-nothing
} catch (Throwable $e) {
$pdo->rollBack(); // undo on failure
}
O acesso seguro a banco de dados é um dos aspectos mais críticos de segurança do desenvolvimento PHP, e PDO com prepared statements é a prática essencial que todo desenvolvedor PHP deve conhecer.
SQL injection — causada pela concatenação direta de entrada de usuário não confiável em consultas SQL — é uma das vulnerabilidades web mais comuns e devastadoras (permitindo que atacantes leiam, modifiquem ou destruam dados), e é totalmente prevenível. Prepared statements com parâmetros vinculados são a solução: ao enviar a estrutura SQL e os dados separadamente, o banco de dados trata a entrada do usuário como dados puros que nunca podem ser executados como SQL, tornando a injeção impossível independentemente da entrada.
Entender que você deve sempre usar prepared statements para qualquer consulta envolvendo entrada do usuário (nunca concatenação de strings) é conhecimento não-negociável e essencial para segurança.
Além de segurança, a interface agnóstica de banco de dados do PDO, tratamento de erros baseado em exceções, busca flexível de resultados e suporte a transações fazem dele a forma robusta e moderna de acessar bancos de dados em PHP.
Como o acesso a banco de dados é fundamental para a maioria das aplicações e SQL injection é tanto comum quanto catastrófico, dominar PDO e a disciplina absoluta de prepared statements está entre as coisas mais importantes que um desenvolvedor PHP deve entender — é a diferença entre uma aplicação segura e uma vulnerável a um ataque grave e bem conhecido. (Frameworks como Laravel usam PDO sob o capô com construtores de consultas/ORMs seguros, mas o princípio subjacente permanece.)