PDO (PHP Data Objects) là giao diện hiện đại, không phụ thuộc cơ sở dữ liệu cụ thể của PHP để truy cập cơ sở dữ liệu. Tính năng quan trọng nhất của nó là prepared statement, vốn ngăn SQL injection — thực hành bảo mật then chốt cho mọi code làm việc với cơ sở dữ liệu.
= (
,
, ,
[
PDO:: => PDO::, // ném exception khi có lỗi
PDO:: => PDO::, // lấy dòng dưới dạng mảng kết hợp
]
);
PDO hoạt động trên nhiều cơ sở dữ liệu (MySQL, PostgreSQL, SQLite, v.v.) với cùng một API. Đặt ERRMODE_EXCEPTION khiến lỗi cơ sở dữ liệu ném ra exception bắt được.
// ❌ ĐỪNG BAO GIỜ làm thế này — nối input người dùng → lỗ hổng SQL INJECTION
$result = $pdo->query("SELECT * FROM users WHERE id = " . $_GET['id']);
// input "1 OR 1=1" hay "1; DROP TABLE users" → thảm họa
// ✅ LUÔN dùng prepared statement với tham số được bind
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ? AND active = ?");
$stmt->execute([$_GET['id'], true]); // tham số được bind AN TOÀN
$user = $stmt->fetch();
// tham số có tên cũng dùng được
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(["email" => $email]);
Prepared statement gửi SQL và dữ liệu riêng biệt — cơ sở dữ liệu coi tham số là dữ liệu thuần túy, không bao giờ là SQL thực thi được. Điều này khiến injection trở nên bất khả thi, bất kể người dùng nhập gì. Đây là điều không thể thương lượng cho mọi truy vấn có input người dùng.
$stmt->fetch(); // một dòng (mảng kết hợp)
$stmt->fetchAll(); // tất cả các dòng
$stmt->fetchColumn(); // một giá trị đơn
// INSERT/UPDATE/DELETE — cũng dùng prepared statement
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute([$name, $email]);
$pdo->lastInsertId(); // ID của dòng mới
$pdo->beginTransaction();
try {
$pdo->prepare("UPDATE accounts SET balance = balance - ? WHERE id = ?")->execute([$amt, $from]);
$pdo->prepare("UPDATE accounts SET balance = balance + ? WHERE id = ?")->execute([$amt, $to]);
$pdo->commit(); // tất cả hoặc không gì cả
} catch (Throwable $e) {
$pdo->rollBack(); // hoàn tác khi thất bại
}
Truy cập cơ sở dữ liệu an toàn là một trong những khía cạnh quan trọng nhất về bảo mật của phát triển PHP, và PDO với prepared statement là thực hành thiết yếu mà mọi lập trình viên PHP phải biết.
SQL injection — gây ra bởi việc nối input không đáng tin của người dùng trực tiếp vào truy vấn SQL — là một trong những lỗ hổng web phổ biến và tàn khốc nhất (cho phép kẻ tấn công đọc, sửa hoặc phá hủy dữ liệu), và nó hoàn toàn ngăn được. Prepared statement với tham số được bind là lời giải: bằng việc gửi cấu trúc SQL và dữ liệu riêng biệt, cơ sở dữ liệu coi input người dùng là dữ liệu thuần túy không bao giờ thực thi được như SQL, khiến injection bất khả thi bất kể input.
Hiểu rằng bạn phải luôn dùng prepared statement cho mọi truy vấn có input người dùng (không bao giờ nối chuỗi) là kiến thức không thể thương lượng, thiết yếu về bảo mật.
Ngoài bảo mật, giao diện không phụ thuộc cơ sở dữ liệu của PDO, xử lý lỗi dựa trên exception, lấy kết quả linh hoạt và hỗ trợ transaction khiến nó là cách vững chắc, hiện đại để truy cập cơ sở dữ liệu trong PHP.
Vì truy cập cơ sở dữ liệu là nền tảng của hầu hết ứng dụng và SQL injection vừa phổ biến vừa thảm khốc, thành thạo PDO và kỷ luật tuyệt đối về prepared statement nằm trong số những điều quan trọng nhất một lập trình viên PHP phải hiểu — đó là khác biệt giữa một ứng dụng an toàn và một ứng dụng dễ tổn thương trước một cuộc tấn công nghiêm trọng, quen thuộc. (Các framework như Laravel dùng PDO bên dưới với query builder/ORM an toàn, nhưng nguyên tắc cốt lõi vẫn không đổi.)