Discussion :

[kuplukopo]

Bonjour,

Je ne suis pas sûre d'avoir compris le principe des requêtes préparées.
Dans un tuto sur le PHP Orienté Objet, j'ai trouvé cet exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
public FUNCTION ADD(Personnage $perso){
    $q = $this->_db->prepare('INSERT INTO personnages SET nom = :nom, forcePerso = :forcePerso, degats = :degats, niveau = :niveau, experience = :experience');
 
    $q->bindValue(':nom', $perso->nom());
    $q->bindValue(':forcePerso', $perso->forcePerso(), PDO::PARAM_INT);
    $q->bindValue(':degats', $perso->degats(), PDO::PARAM_INT);
    $q->bindValue(':niveau', $perso->niveau(), PDO::PARAM_INT);
    $q->bindValue(':experience', $perso->experience(), PDO::PARAM_INT);
 
    $q->execute();
}

Cette fonction ajoute un personnage a la base de données. Pas de soucis je comprends le code, mais je ne vois pas pourquoi il utilise une requête préparée.
Parce que s'il veut ajouter plusieurs Personnage, la fonction sera appelée plusieurs fois, et donc le requête sera préparée plusieurs fois donc ça n'optimise rien au contraire, non ?

Ce que je pense après avoir lu dans les doc, tuto et forum, c'est que ce serait uniquement pour une question de sécurité (pour éviter les injections PHP) et que ça optimiserait seulement si on avait plusieurs Personnage en argument

Non ?

[zwaldo]

Hello,


Comme dirait monsieur php.net :

La plupart des bases de données supportent le concept des requêtes préparées. Qu'est-ce donc ? Vous pouvez les voir comme une sorte de modèle compilé pour le SQL que vous voulez exécuter, qui peut être personnalisé en utilisant des variables en guise de paramètres. Les requêtes préparées offrent deux fonctionnalités essentielles :

La requête ne doit être analysée (ou préparée) qu'une seule fois, mais peut être exécutée plusieurs fois avec des paramètres identiques ou différents. Lorsque la requête est préparée, la base de données va analyser, compiler et optimiser son plan pour exécuter la requête. Pour les requêtes complexes, ce processus peut prendre assez de temps, ce qui peut ralentir vos applications si vous devez répéter la même requête plusieurs fois avec différents paramètres. En utilisant les requêtes préparées, vous évitez ainsi de répéter le cycle analyse/compilation/optimisation. Pour résumer, les requêtes préparées utilisent moins de ressources et s'exécutent plus rapidement.
Les paramètres pour préparer les requêtes n'ont pas besoin d'être entre guillemets ; le driver le gère pour vous. Si votre application utilise exclusivement les requêtes préparées, vous pouvez être sûr qu'aucune injection SQL n'est possible (Cependant, si vous construisez d'autres parties de la requête en vous basant sur des entrées utilisateurs, vous continuez à prendre un risque).
Les requêtes préparées sont tellement pratiques que c'est l'unique fonctionnalité que PDO émule pour les drivers qui ne les supportent pas. Ceci assure de pouvoir utiliser la même technique pour accéder aux données, sans se soucier des capacités de la base de données.

RTFM

++
zwaldo

[kuplukopo]

Oui, mais ça ne répond pas à ma question -__-

Je l'ai lu le manuel!
Je sais que c'est génial quand on l'utilise plusieurs fois à la suite, qu'on gagne du temps parce qu'il n'y a plus tous les allers-retours client-serveur

Ma question c'était pas "qu'est ce que c'est ? A quoi ça sert".

[zwaldo]

Re,

Ce sont des requêtes déjà préparées en base, qui n'ont plus qu'a s'auto exécuter qd tu les appels, ça permet de gagner du temps sur l’exécution.
Sur de grosses requêtes le temps gagné peu s’avérer énorme.
Puisque les requêtes sont déjà préparées coté SQL, impossible de modifier cette requête pour faire de l'injection SQL.

Je ne sais pas quoi te dire de plus ...

zwaldo

[rawsrc]

Salut,

Globalement je pense que préparer le même sql plusieurs fois conduit à une perte de performances (voire à une mauvaise conception).
Maintenant, je sais qu'Oracle DB utilise un système capable de détecter si un même SQL est re-préparé. Dans ce cas, il utilise son système de cache pour y répondre au plus vite. Donc tu as effectivement une légère perte de perf mais c'est rien comparé à un moteur qui est dépourvu de ce genre de détecteur.

Tu vas trouver la doc ici

Par contre, je ne sais pas si MySQL est équipé de ça.

Pour en revenir à ton code, c'est clair qu'il y a moyen de rendre ça plus optimal et éviter la re-préparation à chaque appel (d'autant plus qu'aucun paramètre ne change)

[Invité]

Bonsoir,
Tu poses une bonne question, mais si j'ais une ou plusieurs requêtes à réaliser, de toute façon je ferais un prépare, car le fait d'utiliser les BIND-VALUE te sécurise de façon extra ! n'oublies pas cet aspect