Discussion :

[apache35]

Bonjour,

Je développe en procédurale depuis plusieurs années et je me suis récemment mit à la POO et à PDO. Il y a quelque chose que je ne saisi pas, c'est quand faut-il utiliser les requêtes préparés.

Partout sur internet ont peut lire "elles doivent êtres utilisés pour les requêtes qui sont utilisés plusieurs fois mais avec des paramètres différents". Tant mieux si vous comprenez, mais moi je ne comprend pas si la requête doit être exécuté plusieurs fois dans le même script avec des paramètres différents, ou si c'est une seule requête dans un script dont les paramètres changent en fonction de l'internaute par exemple.

Si je prend un exemple, une requête qui liste les sujets d'un forum, il y a au moins un paramètre qui change en fonction du forum demandé, c'est dans ce cas là qu'il faut préparer ?

Je vous remercie d'avance.

[sabotage]

Sous toute réserve des mécanismes de mysql, l'effet de la préparation n'est valable que sur le script en cours.

La préparation sert également à protéger les chaînes.

[grunk]

En mettant le coté protection des chaines (ce qui en soit, suffit à utiliser la préparation tout le temps ou presque), voici un exemple ou la préparation sera réellement efficace :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$sql->prepare('UPDATE users SET champs = :val WHERE id = :idUser');
foreach($users as $user)
    $sql->execute(array(':val'=>rand(0,5000),':idUser'=>$user->id);

Tu prépares une fois ta requêtes , puis pour chaque utilisateur on l'exécute avec des paramètres différents.

Personnellement , à partir du moment ou ma requête comporte des entrée utilisateurs , c'est une requête préparé. Je reste sur un simple query lorsque je fait des requêtes sans paramètres , voir des paramètres interne à mon appli dont je suis absolument certains.

[sabotage]

En fait j'ai la même démarche que Grunk.
La préparation étant plus lente qu'une execution directe pour une requête seule.

- requête avec données externes -> préparation
- requête repétée -> préparation
- requête avec données internes -> execution directe

[FMaz]

En cas de doute: prépare !

... et si jamais tu éprouve des problèmes de performances ( chose très théorique ), et bien tu pourra exécuter directement.


Pour ma part s'il n'y a pas de paramètre, j'exécute directement. Sinon, interne ou externe, je prépare.

[Invité]

Bonjour,
Je n'aimes pas beaucoup l'expression: protection, bien sur nous sommes nombreux(ses) a comprendre ce dont il sagit, mais sur les trois forum ou je suis fréquement j'ais trop lue,
"Alors Mon POST ou mon GET sont securisés ?"

Je dis cela juste parcequ'il nous appartient de ne pas laisser se répendre tel confusion

[gene69]

Comment est gérée la transaction avec une requete préparée?

Je veux dire est-ce que ça démarre une transaction au moment de la préparation ou la préparation reste de la sauce interne au driver?

Si la transaction est démarré au moment de la préparation à quel moment s'arrete-t'elle?

Est-ce qu'il est possible que ma question soit completement stupide? faut dire que j'utilise le pilote historique de mysql surcouche maison qui ne gère pas les préparations de requetes à ma connaissance.

[FMaz]

Excellente question.
Mais que la préparation soit faite ou pas, ca ne change strictement rien car préparer une requête ne modifie aucune donnée.

C'est seulement lorsque tu exécute une requête préparée que des données sont modifiés.

Par curiosité, pourrais-tu nous donner un exemple d'un cas pratique où il est utile de démarrer une transaction entre la préparation et l'exécution...

[gene69]

je ne prépare pas mes requetes, je viens d'une époque ou PDO n'existait pas.

j'imagine qu'il y a des contextes massivement concurrent ou ça peut être utile.

j'imagine aussi une requete préparée, et une exception PHP levée entre le prépare et le execute, si ya une transaction qui démarre, des connexions persistantes...

C'est aussi parce qu'il m'arrive d'ecrire LOCK TABLES table1 READ, table2 READ.. (ok 1 fois dans une vie) dans mon code. Si je prépare et que j'execute j'aimerai avoir la compréhension de savoir à quelle ligne de code commence mon verrou et ou il se termine.

[FMaz]

La préparation ne sert qu'à demander au serveur de préparer un plan d'exécution logique pour l'exécution. Sauf erreur de ma part, je pense pas qu'il y ai de verrou pendant la préparation puisqu'il n'y a aucune données de modifié ou de lus.

Pour vulgariser, avant, tu faisais un mysql_query() qui "préparait et exécutait". Maintenant tu as la possibilité de séparer les deux afin de ne préparer qu'une seule fois une exécution multiple, et accessoirement de "protéger" (voir les notice à ce sujet) les valeurs de la requête.

Personnellement, je n'ai jamais eu à intéragir avec la base de données entre le prepare() et le execute(). C'est un peu plus clair ou je ne fais qu'embrouiller les choses ?