Sobre MySQLi y los prepared statements

Keysher · #1 (**permalink**) 13/10/2008, 12:45

Buenas,

Actualmente esoy planteandome pasar de mysql a mysqli, y tengo algunas dudillas al respecto.

He estado mirando y en casi todos sitios pone que es mejor realizar las querys con prepared statements, por temas de rendimiento (entre otras cosas). ¿Realmente merece la pena hacer las consultas de esta manera?

Por otra parte, a la hora de realizar las querys en los tres pasos (preparación, parámetros y ejecución), ¿la clase se encarga de validar los datos? es decir, ¿sigue siendo necesario un mysql_real_escape()?

Entiendo que brinda más seguridad, ya que en todo momento le decimos qué tipo de parámetros vamos a pasarle... por lo que supongo (y sólo supongo) que si se intenta inyectar SQL lo detectará, ¿no?

Saludos.

GatorV · #2 (**permalink**) 13/10/2008, 13:23

Hola Keysher,

Aun cuando uses prepared statements, debes de verificar por SQL Inyection, aunque es menos probable, aun es posible asi que no te fies, es mejor comprobar el valor recuerda la regla: Nunca confiar en el contenido que te envie el usuario.

Saludos.

Keysher · #3 (**permalink**) 13/10/2008, 13:38

Sí, lo sé, esa es la mejor máxima, nunca fiarse de los datos de entrada. Lo que me recuerda al típico refŕan de "Si lo haces a pruebas de idiotas, te toparás con un idiota mejor".

Lo preguntaba por si esos métodos ya hacían esa validación (hay que ser cauto, pero tampoco es muy recomendable duplicar comprobaciones).

Siendo clases, supongo que no sería muy complicado crear una clase que herede mysqli e implementar un método que, además de preparar el statement, también compruebe los campos para evitar sorpresas.

Gracias y un saludo!!

Keysher · #4 (**permalink**) 14/10/2008, 13:22

Siguiendo con esto...

¿Realmente merece la pena usar los statements?

Me refiero a que pare realizar una simple query hay que hacer unos cuantos pasos:

Código php:

Ver original$stmt = mysqli_stmt_init($link);
mysqli_stmt_prepare($stmt, 'SELECT campo FROM Tabla WHERE otroCampo=?')
mysqli_stmt_bind_param($stmt, "s", $otroCampo);
mysqli_stmt_execute($stmt);
mysqli_stmt_bind_result($stmt, $campo);
//el bucle que sea...
    mysqli_stmt_fetch($stmt);
    echo ($campo);
mysqli_stmt_close($stmt);

A esto habría que añadirle un mysqli_real_escape_string() de los campos del query....

¿Es todo esto necesario?

Estoy planteando alguna forma de automatizar todo en algún método de una clase, pero es complicado, se necesitan variables de entrada... los tipos de estas variables... la query.... las variables de salida.... es un poco coñazo.

GatorV · #5 (**permalink**) 14/10/2008, 14:03

Te recomiendo veas Zend_Db y PDO, te pueden hacer la vida más fácil

.

Saludos.

Keysher · #6 (**permalink**) 14/10/2008, 14:31

Los tenía por ahí apuntaditos para echarles un ojo.... pero tengo la manía de intentar hacer yo a mno todo (no por reinventar la rueda sino para aprender más y manejarme mejor).

Los miraré a ver si consigo implementar algo decente yo... aunque si no consigo gran cosa usaré alguno (o utilizaré mysqli a la vieja usanza).

Gracias y un saludo.

GatorV · #7 (**permalink**) 14/10/2008, 15:48

Esque ya tu mismo te diste el tope, tienes que hacer todo eso para solo un simple select, eso es casi "hacerlo a mano", y si usas PDO o Zend_Db (recomendado), entonces estas ocupando la capa de abstracción más arriba.

Saludos.

Keysher · #8 (**permalink**) 14/10/2008, 16:08

Sí, eso es. Aunque la intención es que esa capa la cree yo mismo, ya sea con una clase nueva desde cero o una que herede mysqli.....

De momento prefiero crearlas yo aunque sean más simples que las prefabricadas, pero es la única forma de habituarse a un lenguaje de programación y coger soltura (y en mi caso el PHP es un hobbie al que no puedo dedicar todo el tiempo que me gustaría).

Ahora mismo no me interesa una clase muy compleja para las conexiones con la BDD, con poder hacer querys y un par de cosillas más me vale, así que lo intentaré yo (probablemente con una clase propia que herede de mysqli).

Mañana cuando tenga un rato miraré PDO y Zend_DB, a ver si puedo reutilizar o adaptar alguna clase...

Graciar por los consejos!

GatorV · #9 (**permalink**) 14/10/2008, 16:27

Por nada, espero puedas adaptarte a usar Zend_Db (aunque sea como hobbie) o que crees tu clase.

Saludos.

jvega23 · #10 (**permalink**) 27/11/2008, 09:38

como puedo hacer un select en php con "Mysql" usando prepared statements?,
pero ojo "Mysql" no "Mysqli"...

GatorV · #11 (**permalink**) 27/11/2008, 12:27

No es posible, la extensión de MySQL no soporta prepared statements, necesitas usar PDO o MySQLi.

Saludos.

jvega23 · #12 (**permalink**) 27/11/2008, 14:41

Disculpa GatorV, con respeto te contradigo, ya solucione mi problema. Era un simple error en la sentencia del sql, pero me di cuenta que si funciona perfectamente los prepared statements con mysql y adodb y tengo los ejemplos para probarlo.
Realizare el aporte mañana cuando llegue al trabajo. Gracias de todos modos.

GatorV · #13 (**permalink**) 27/11/2008, 17:52

ADODB, emula los prepared statements, tu querias hacerlo con la extensión de MySQL, recuerda que es importante dar todos los datos al poner tus posts.

Saludos.