Prepared Statements sind eine leistungsstarke Methode, um SQL-Abfragen sicher und effizient auszuführen. Sie bieten Schutz vor SQL-Injection-Angriffen und verbessern die Performance bei wiederholten Abfragen.

Was sind Prepared Statements?

Prepared Statements sind SQL-Abfragen, die vorab kompiliert und gespeichert werden. Sie bestehen aus zwei Schritten: der Vorbereitung der Abfrage und der Ausführung mit den tatsächlichen Werten.

Vorteile von Prepared Statements:

Sicherheit: Prepared Statements schützen vor SQL-Injection, da die Eingabewerte getrennt von der SQL-Abfrage verarbeitet werden.
Performance: Bei wiederholten Abfragen wird die SQL-Abfrage nur einmal kompiliert, was die Ausführungszeit reduziert.
Lesbarkeit: Der Code wird klarer und leichter zu warten.

Beispiel mit MySQLi:

<?php $servername = "localhost";
$username = "benutzername";
$password = "passwort";
$dbname = "datenbankname";

// Verbindung herstellen
$conn = new mysqli($servername, $username, $password, $dbname);

// Verbindung prüfen
if ($conn->connect_error) {
die("Verbindung fehlgeschlagen: " . $conn->connect_error);
}

// Prepared Statement erstellen
$stmt = $conn->prepare("SELECT vorname, nachname FROM benutzer WHERE alter > ?");
$stmt->bind_param("i", $alter);

// Parameter setzen und Abfrage ausführen
$alter = 18;
$stmt->execute();

// Ergebnis abrufen
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
echo "Vorname: " . $row['vorname'] . " - Nachname: " . $row['nachname'] . "
";
}

// Statement und Verbindung schließen
$stmt->close();
$conn->close();
?>

Beispiel mit PDO:

<?php
$dsn = "mysql:host=localhost;dbname=datenbankname";
$username = "benutzername";
$password = "passwort";

try {
$pdo = new PDO($dsn, $username, $password);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// Prepared Statement erstellen
$stmt = $pdo->prepare("SELECT vorname, nachname FROM benutzer WHERE alter > :alter");
$stmt->bindParam(':alter', $alter);

// Parameter setzen und Abfrage ausführen
$alter = 18;
$stmt->execute();

// Ergebnis abrufen
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
echo "Vorname: " . $row['vorname'] . " - Nachname: " . $row['nachname'] . "
";
}
} catch (PDOException $e) {
echo "Verbindung fehlgeschlagen: " . $e->getMessage();
}
?>

Prepared Statements sind ein unverzichtbares Werkzeug für die sichere und effiziente Arbeit mit SQL-Datenbanken. Sie bieten Schutz vor SQL-Injection und verbessern die Performance bei wiederholten Abfragen. Durch die Verwendung von MySQLi oder PDO können Sie Prepared Statements einfach in Ihre PHP-Anwendungen integrieren.