PDO (PHP Data Objects) este interfața modernă și independentă de bază de date a PHP pentru accesarea bazelor de date. Cea mai importantă caracteristică este prepared statements, care previne SQL injection — practica critică de securitate pentru orice cod de bază de date.
= (
,
, ,
[
PDO:: => PDO::, // exceptions on errors
PDO:: => PDO::, // fetch rows associative arrays
]
);
PDO funcționează pe mai multe baze de date (MySQL, PostgreSQL, SQLite, etc.) cu aceeași API. Setarea ERRMODE_EXCEPTION face ca erorile din baza de date să arunce excepții care pot fi capturate.
// ❌ NEVER do this — concatenating user input → SQL INJECTION vulnerability
$result = $pdo->query("SELECT * FROM users WHERE id = " . $_GET['id']);
// input "1 OR 1=1" or "1; DROP TABLE users" → disaster
// ✅ ALWAYS use prepared statements with bound parameters
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ? AND active = ?");
$stmt->execute([$_GET['id'], true]); // parameters bound SAFELY
$user = $stmt->fetch();
// named parameters work too
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(["email" => $email]);
Prepared statements trimit SQL și datele separat — baza de date tratează parametrii ca date pure, niciodată ca SQL executabil. Acest lucru face injecția imposibilă, indiferent de ceea ce introduce utilizatorul. Aceasta este non-negociabilă pentru orice interogare care implică date introduse de utilizator.
$stmt->fetch(); // one row (associative array)
$stmt->fetchAll(); // all rows
$stmt->fetchColumn(); // a single value
// INSERT/UPDATE/DELETE — also use prepared statements
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute([$name, $email]);
$pdo->lastInsertId(); // the new row's ID
$pdo->beginTransaction();
try {
$pdo->prepare("UPDATE accounts SET balance = balance - ? WHERE id = ?")->execute([$amt, $from]);
$pdo->prepare("UPDATE accounts SET balance = balance + ? WHERE id = ?")->execute([$amt, $to]);
$pdo->commit(); // all-or-nothing
} catch (Throwable $e) {
$pdo->rollBack(); // undo on failure
}
Accesul sigur la baza de date este unul dintre aspectele cu cea mai critică importanță din perspectiva securității în dezvoltarea PHP, iar PDO cu prepared statements este practica esențială pe care fiecare dezvoltator PHP trebuie să o cunoască.
SQL injection — cauzat de concatenarea datelor neîncredere introduse de utilizator direct în interogări SQL — este una dintre cele mai frecvente și devastatoare vulnerabilități web (permițând atacatorilor să citească, modifice sau distrugă date), și este complet preventabilă. Prepared statements cu parametri legați sunt soluția: prin trimiterea structurii SQL și a datelor separat, baza de date tratează datele introduse de utilizator ca date pure care nu pot fi niciodată executate ca SQL, făcând injecția imposibilă indiferent de intrare.
Înțelegerea că trebuie să întotdeauna folosești prepared statements pentru orice interogare care implică date introduse de utilizator (niciodată concatenare de șiruri) este cunoștință non-negociabilă și esențială din punct de vedere al securității.
Au afară de securitate, interfața independentă de bază de date a PDO, gestionarea erorilor bazată pe excepții, extragerea flexibilă a rezultatelor și suportul tranzacțiilor o fac să fie modul robust și modern de a accesa bazele de date în PHP.
Deoarece accesul la baza de date este fundamental pentru majoritatea aplicațiilor și SQL injection este atât frecventă cât și catastrofală, stăpânirea PDO și a disciplinei absolute a prepared statements este una dintre cele mai importante lucruri pe care trebuie să o înțeleagă un dezvoltator PHP — este diferența dintre o aplicație sigură și una vulnerabilă la un atac semnificativ și bine cunoscut. (Framework-uri precum Laravel folosesc PDO sub capotă cu constructori de interogări siguri/ORM-uri, dar principiul subiacent rămâne același.)