Discussion :

[hpnet]

Bjr
question
doit-on mettre cette propriété pour PDO à savoir PDO::ATTR_EMULATE_PREPARES à false ou à true?
du moins pour les versions récentes de php et mysql
certains conseillent de mettre à false ...
y a-t-il une influence sur la performance et/ou la sécurité?


d'autre part,
j'ai déjà eu des problèmes avec fetch et fetchAll pour un select ...
récupération d'un champ primary key integer en string avec le statement ?
influence de cet attribut PDO::ATTR_EMULATE_PREPARES sur un tel comportement ...
merci d'avance
A+

[hpnet]

je complète ce message
dans mon cas
en mettant PDO::ATTR_EMULATE_PREPARES à true
et en faisant un fetch avec la paramètre FETCH_ASSOC (récupération d'un tableau associatif avec les index correspondant aux noms des champs de la table mysql)
je récupère un tableau avec les données en type string aussi bien pour les keys (qui sont en integer dans la structure SQL)

en mettant PDO::ATTR_EMULATE_PREPARES à false
et en faisant à nouveau un fetch avec même paramètre
je récupère un tableau et les types sont corrects int pour les keys et string pour des varchar par exemple
et en faisant un test de performance
requête un peu plus longue que pour ATTR_EMULATE_PREPARES à true
(ce qui me paraît normal)

explication?
quelqu'un a eu le même cas ...

Donc si je laisse ATTR_EMULATE_PREPARES à true
je dois caster les valeurs récupérées dans le tableau
ou utiliser FETCH_FUNC avec une fonction de remplacement/transformation
ce qui est un peu plus lent niveau performance (ce qui est aussi normal)

A+

[Tsilefy]

En mettant à true, PDO effectue lui-même les substitutions et échappe les paramètres, puis envoie à la BDD une requête complète. False veut dire que PDO envoie séparément la requête et les variables. En utilisant false, tu peux profiter du système de cache de ta BDD, ce qui peut te faire gagner en performance (parfois) dans certains cas.

True est légèrement plus rapide que false, mais cette différence est négligeable.

En termes de sécurité, les deux en théorie sont censés être équivalents. Les anciennes versions de MySQL n'avaient pas de rêquete préparées, d'où le recours à cette émulation. Maintenant, à toi de te poser la question: fais-tu plus confiance à PDO pour échapper correctement tes variables en fonction des différentes types, versions et sous versions de bases de données? Ou vaut-il mieux laisser la BDD faire ça elle-même? Autant dire qu'il ne faut pas prendre de risque, et mieux vaut utiliser false.

Et effectivement, l'utilisation de rêquetes préparées natives retourne des types natives (int, etc...) depuis PHP 5.3, tandis que l'émulation caste toutes les valeurs en string. À toi de voir si c'est bon ou pas pour toi (par ex si tu fais des comparaisons strictes ou pas). Après, est-ce que tu as vraiment besoin de les caster explicitement? Sauf si tu utilises PHP 7 et les strict types, PHP va les convertir implicitement pour toi.

[hpnet]

un grand merci pour ton commentaire
A+