PDO (PHP Data Objects), PHP'nin veritabanlarına erişmek için modern, veritabanı-agnostik arayüzüdür. En önemli özelliği prepared statements (hazırlanmış sorgular) olup, SQL injection (SQL enjeksiyonu) saldırılarını önler — bu, herhangi bir veritabanı kodu için kritik güvenlik uygulamasıdır.
= (
,
, ,
[
PDO:: => PDO::, // exceptions on errors
PDO:: => PDO::, // fetch rows associative arrays
]
);
PDO, farklı veritabanlarında (MySQL, PostgreSQL, SQLite, vb.) aynı API ile çalışır. ERRMODE_EXCEPTION ayarı, veritabanı hatalarının yakalanabilir istisnalar (exception) olarak atılmasını sağlar.
// ❌ NEVER do this — concatenating user input → SQL INJECTION vulnerability
$result = $pdo->query("SELECT * FROM users WHERE id = " . $_GET['id']);
// input "1 OR 1=1" or "1; DROP TABLE users" → disaster
// ✅ ALWAYS use prepared statements with bound parameters
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ? AND active = ?");
$stmt->execute([$_GET['id'], true]); // parameters bound SAFELY
$user = $stmt->fetch();
// named parameters work too
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(["email" => $email]);
Prepared statements, SQL ve veriyi ayrı ayrı gönderir — veritabanı parametreleri saf veri olarak ele alır, hiçbir zaman yürütülebilir SQL olarak değil. Bu, kullanıcı ne girerse girsin, enjeksiyonu imkânsız hale getirir. Kullanıcı girdisi içeren herhangi bir sorgu için bu, vazgeçilmezdir.
$stmt->fetch(); // one row (associative array)
$stmt->fetchAll(); // all rows
$stmt->fetchColumn(); // a single value
// INSERT/UPDATE/DELETE — also use prepared statements
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute([$name, $email]);
$pdo->lastInsertId(); // the new row's ID
$pdo->beginTransaction();
try {
$pdo->prepare("UPDATE accounts SET balance = balance - ? WHERE id = ?")->execute([$amt, $from]);
$pdo->prepare("UPDATE accounts SET balance = balance + ? WHERE id = ?")->execute([$amt, $to]);
$pdo->commit(); // all-or-nothing
} catch (Throwable $e) {
$pdo->rollBack(); // undo on failure
}
Güvenli veritabanı erişimi, PHP geliştirmesinin en güvenlikle ilgili yönlerinden biridir ve prepared statements ile PDO, her PHP geliştiricinin bilmesi gereken temel uygulamadır.
SQL injection — güvenilmeyen kullanıcı girdisini doğrudan SQL sorgularına birleştirmekten kaynaklanır — en yaygın ve yıkıcı web güvenlik açıklarından biridir (saldırganların veri okumalarına, değiştirmelerine veya yok etmelerine izin vererek) ve tamamen önlenebilir. Prepared statements ile bağlanmış parametreler çözümdür: SQL yapısı ve veriyi ayrı ayrı göndererek, veritabanı kullanıcı girdisini saf veri olarak ele alır ve hiçbir zaman SQL olarak yürütülemez, bu da girdinin ne olursa olsun enjeksiyonu imkânsız hale getirir.
Kullanıcı girdisi içeren herhangi bir sorgu için her zaman prepared statements kullanmanız gerektiğini (asla string birleştirme yapmamamanız), ve bunun uyulamıyor olduğunu anlamak, vazgeçilmez, güvenlik açısından önemli bilgidir.
Güvenliğin ötesinde, PDO'nun veritabanı-agnostik arayüzü, exception tabanlı hata işleme, esnek sonuç getirme ve işlem desteği, onu PHP'de veritabanlarına erişmek için güçlü ve modern yol yapar.
Veritabanı erişimi çoğu uygulamanın temel olduğu ve SQL injection'ın hem yaygın hem de yıkıcı olduğu için, PDO ve prepared statements'ın mutlak disiplini ile ilgili bilgi, bir PHP geliştiricisinin anlaması gereken en önemli şeylerden biridir — bu, güvenli bir uygulama ile ciddi, iyi bilinen bir saldırıya karşı savunmasız bir uygulama arasındaki farktır. (Laravel gibi çerçeveler, PDO'yu altında güvenli sorgu oluşturucuları/ORM'ler ile kullanırlar, ancak temel ilke aynı kalır.)