Requêtes préparées

Version imprimable

Requêtes préparées

Bonjour,

Je ne suis pas sûre d'avoir compris le principe des requêtes préparées.
Dans un tuto sur le PHP Orienté Objet, j'ai trouvé cet exemple :
Code:

1 2 3 4 5 6 7 8 9 10 11 public FUNCTION ADD(Personnage $perso){ $q = $this->_db->prepare('INSERT INTO personnages SET nom = :nom, forcePerso = :forcePerso, degats = :degats, niveau = :niveau, experience = :experience'); $q->bindValue(':nom', $perso->nom()); $q->bindValue(':forcePerso', $perso->forcePerso(), PDO::PARAM_INT); $q->bindValue(':degats', $perso->degats(), PDO::PARAM_INT); $q->bindValue(':niveau', $perso->niveau(), PDO::PARAM_INT); $q->bindValue(':experience', $perso->experience(), PDO::PARAM_INT); $q->execute(); }
Cette fonction ajoute un personnage a la base de données. Pas de soucis je comprends le code, mais je ne vois pas pourquoi il utilise une requête préparée.
Parce que s'il veut ajouter plusieurs Personnage, la fonction sera appelée plusieurs fois, et donc le requête sera préparée plusieurs fois donc ça n'optimise rien au contraire, non ?

Ce que je pense après avoir lu dans les doc, tuto et forum, c'est que ce serait uniquement pour une question de sécurité (pour éviter les injections PHP) et que ça optimiserait seulement si on avait plusieurs Personnage en argument

Non ?

31/05/2013, 16h29
zwaldo

Hello,

Comme dirait monsieur php.net :

Citation:

La plupart des bases de données supportent le concept des requêtes préparées. Qu'est-ce donc ? Vous pouvez les voir comme une sorte de modèle compilé pour le SQL que vous voulez exécuter, qui peut être personnalisé en utilisant des variables en guise de paramètres. Les requêtes préparées offrent deux fonctionnalités essentielles :

La requête ne doit être analysée (ou préparée) qu'une seule fois, mais peut être exécutée plusieurs fois avec des paramètres identiques ou différents. Lorsque la requête est préparée, la base de données va analyser, compiler et optimiser son plan pour exécuter la requête. Pour les requêtes complexes, ce processus peut prendre assez de temps, ce qui peut ralentir vos applications si vous devez répéter la même requête plusieurs fois avec différents paramètres. En utilisant les requêtes préparées, vous évitez ainsi de répéter le cycle analyse/compilation/optimisation. Pour résumer, les requêtes préparées utilisent moins de ressources et s'exécutent plus rapidement.
Les paramètres pour préparer les requêtes n'ont pas besoin d'être entre guillemets ; le driver le gère pour vous. Si votre application utilise exclusivement les requêtes préparées, vous pouvez être sûr qu'aucune injection SQL n'est possible (Cependant, si vous construisez d'autres parties de la requête en vous basant sur des entrées utilisateurs, vous continuez à prendre un risque).
Les requêtes préparées sont tellement pratiques que c'est l'unique fonctionnalité que PDO émule pour les drivers qui ne les supportent pas. Ceci assure de pouvoir utiliser la même technique pour accéder aux données, sans se soucier des capacités de la base de données.

RTFM ;)

++
zwaldo
31/05/2013, 16h37
kuplukopo

Oui, mais ça ne répond pas à ma question -__-

Je l'ai lu le manuel!
Je sais que c'est génial quand on l'utilise plusieurs fois à la suite, qu'on gagne du temps parce qu'il n'y a plus tous les allers-retours client-serveur

Ma question c'était pas "qu'est ce que c'est ? A quoi ça sert".
31/05/2013, 17h01
zwaldo

Re,

Ce sont des requêtes déjà préparées en base, qui n'ont plus qu'a s'auto exécuter qd tu les appels, ça permet de gagner du temps sur l’exécution.
Sur de grosses requêtes le temps gagné peu s’avérer énorme.
Puisque les requêtes sont déjà préparées coté SQL, impossible de modifier cette requête pour faire de l'injection SQL.

Je ne sais pas quoi te dire de plus ...

zwaldo
31/05/2013, 17h40
rawsrc

Salut,

Globalement je pense que préparer le même sql plusieurs fois conduit à une perte de performances (voire à une mauvaise conception).
Maintenant, je sais qu'Oracle DB utilise un système capable de détecter si un même SQL est re-préparé. Dans ce cas, il utilise son système de cache pour y répondre au plus vite. Donc tu as effectivement une légère perte de perf mais c'est rien comparé à un moteur qui est dépourvu de ce genre de détecteur.

Tu vas trouver la doc ici

Par contre, je ne sais pas si MySQL est équipé de ça.

Pour en revenir à ton code, c'est clair qu'il y a moyen de rendre ça plus optimal et éviter la re-préparation à chaque appel (d'autant plus qu'aucun paramètre ne change)
31/05/2013, 18h22
Invité

Bonsoir,
Tu poses une bonne question, mais si j'ais une ou plusieurs requêtes à réaliser, de toute façon je ferais un prépare, car le fait d'utiliser les BIND-VALUE te sécurise de façon extra ! n'oublies pas cet aspect ;)
31/05/2013, 22h58
sabotage

D'après la doc, depuis MySQL 5.1.21, le cache de requête est utilisé pour les requêtes préparées.
http://dev.mysql.com/doc/refman/5.1/...operation.html
Donc mysql ne referrait pas la préparation d'une requête déjà préparée.
Cela n'empêche pas de gérer ça intelligement dans le code PHP et de ne pas refaire des préparations.

Attention toutefois, par défaut PHP emule la préparation des requêtes Mysql et donc le bénéfice de performance est nul.
03/06/2013, 15h07
kuplukopo

Merci beaucoup pour vos réponses :ccool: