I. Consultas en PDO
Podemos decir que hay dos tipos de consultas en PDO:
1. Consultas sin criterios o filtros
Si en la consulta
no intervienen datos desde el exterior, la misma se puede pasar directamente a la base de datos, sin riesgo, mediante el método
query
, el cual ejecutará la consulta y devolverá un objeto especial de la clase
PDOStatement
. Luego podrá leerse ese recurso para obtener las filas reales:
$stmt = $pdo->query('SELECT name FROM users');
while ($row = $stmt->fetch())
{
echo $row['name'] . "\n";
}
Además, el método query()
nos permite usar un encadenamiento de método puro para consultas SELECT
.
2. Consultas con criterios o filtros
Si en la consulta intervienen datos desde el exterior, es decir,
si se va a utilizar alguna variable en ella, hay una sola manera correcta de proceder:
usando consultas preparadas. La razón por la que es tan importante se explica en detalle en las respuestas a:
¿Cómo evitar la inyección SQL en PHP? En esencia, el no usar consultas preparadas podría permitir a cualquier usuario mal intencionado enviar a la base de datos o al mismo sistema, código malicioso.
¿Cómo se escribe y se prepara una consulta?
Aunque parezca complicado, sobre todo al principio, no lo es. Se trata de dos sencillos pasos:
- Se escribe la consulta sustituyendo las variables que intervienen en ella (datos que vienen desde el exterior), por un marcador. Hay dos tipos de marcadores. Uno se llama marcador de posición:
?
y otro se llama marcador de nombre :nombrecualquiera
.
Podemos usar cualquiera de los dos, pero no uno y otro combinados.
- El paso siguiente es preparar la consulta, usando el método
prepare()
y luego ejecutarla usando execute()
. En el método execute
enviamos a la base de datos los valores que hemos recibido desde el exterior. De esta forma viajan separados de la instrucción SQL en sí, haciendo casi imposible el hecho de la Inyección SQL.
Para preparar consultas, PDO admite los marcadores de posición (?
) y de nombre (:email
). Veremos ejemplos de cada uno y lo que los caracteriza y lo que hay que tener en cuenta.
Un ejemplo usando marcadores de posición ?
:
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = ? AND status=?');
$stmt->execute([$email, $status]);
$user = $stmt->fetch();
Nótese que para los marcadores de posición hay que proporcionar una matriz regular con valores. Las comillas nunca deben utilizarse alrededor de marcadores de posición.
Los marcadores de posición permiten escribir un código más corto, pero son sensibles al orden de los argumentos (que deben ser exactamente iguales al orden de los marcadores de posición correspondientes en la consulta).
Un ejemplo usando marcadores de nombre :nombre
:
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email AND status=:status');
$stmt->execute(['email' => $email, 'status' => $status]);
$user = $stmt->fetch();
Nótese que para los marcadores de nombre tiene que pasar una matriz asociativa, donde las claves tienen que coincidir con los nombres del marcador en la consulta. Los marcadores de nombre hacen que su código sea más detallado, permiten orden de enlace aleatorio.
Los marcadores de nombre siempre comienzan con dos puntos y se pueden escribir utilizando sólo letras, dígitos y subrayados. Las comillas nunca deben utilizarse alrededor de marcadores de nombre.
También tenga en cuenta que a pesar de una ilusión generalizada, los dos puntos ":
" en las llaves no son necesarios. Es decir, son obligatorios en la instrucción SQL, pero no en el array que se pasa posteriormente.
Cuando la consulta es preparada usando el método prepare()
, éste devolverá el mismo objeto PDOStatement
del que hablábamos anteriormente, pero sin datos adjuntos a él.
Finalmente, para ejecutar la consulta, se usa el método execute()
de este objeto, pasando variables en él, en forma de array. Y después de eso, podremos obtener los datos resultantes de la consulta (si es aplicable).
Si eres un programador de PHP que te respetas, una de las cosas que debes saber es que nunca debes escribir una consulta como esta:
$sql = "SELECT * FROM users WHERE email = '$email' AND
status='$status'";
La forma correcta es usar consultas preparadas como se explica más arriba.
¿Cómo funciona una consulta preparada?
La imagen muestra cómo funcionaría una consulta preparada:
Una de las cosas que vemos es que la consulta preparada no sólo nos ayuda a prevenir código malicioso, sino también a optimizar nuestro código.
3. Ejecutando consultas del tipo SELECT
, INSERT
, UPDATE
o DELETE
Podemos decir que para PDO, cualquiera de estas 4 consultas son iguales. Porque lo que hace PDO en todas ellas es preparar una consulta con marcadores (de posición o de nombre) y, a continuación, ejecutarla, enviando variables por separado. El proceso es esencialmente el mismo. La única diferencia es (como las consultas DML no devuelven ningún dato), que puede utilizar el método de encadenamiento y, por tanto, llamar a execute()
junto con prepare()
:
$sql = "UPDATE users SET name = ? WHERE id = ?";
$pdo->prepare($sql)->execute([$name, $id]);
Sin embargo, si desea obtener el número de filas afectadas, el código tendrá que tener tres líneas como estas:
$stmt = $pdo->prepare("DELETE FROM goods WHERE category = ?");
$stmt->execute([$cat]);
$deleted = $stmt->rowCount();
II. Leyendo los datos obtenidos
2.1 Obteniendo datos fuera de la declaración: foreach
La manera más básica y directa de obtener varias filas de una sentencia sería mediante el bucle foreach(). Gracias a la interfaz
Traversable, con
PDOStatement
puede iterarse utilizando el operador
foreach()
:
$stmt = $pdo->query('SELECT name FROM users');
foreach ($stmt as $row)
{
echo $row['name'] . "\n";
}
Este método es amigable para la memoria, ya que no carga todas las filas resultantes de golpe, sino que las entrega una por una (aunque hay que tener en cuenta lo que se dice en el apartado Mysqlnd y consultas almacenadas en búfer.).
2.2 Obteniendo datos fuera de la declaración (o statement): fetch
La función
fetch
obtiene una sola fila de la base de datos y mueve el puntero interno en el conjunto de resultados, por lo que las llamadas consecuentes a esta función devolverán todas las filas resultantes una por una. Esto hace que este método sea un análogo áspero a
mysql_fetch_array()
, pero funciona de una manera ligeramente diferente: en lugar de muchas funciones separadas (
mysql_fetch_assoc()
,
mysql_fetch_row()
, etc), sólo hay una, pero su comportamiento puede ser cambiado por un parámetro. Hay muchos modos de búsqueda en PDO, y los discutiremos más adelante, pero aquí hay unos pocos para empezar:
PDO::FETCH_NUM
devuelve matriz enumerada
PDO::FETCH_ASSOC
devuelve matriz asociativa
PDO::FETCH_BOTH
- hace lo que los dos anteriores
PDO::FETCH_OBJ
devuelve el objeto
PDO::FETCH_LAZY
permite los tres métodos (numéricos asociativos y de objetos) sin sobrecarga de memoria.
De lo anterior se puede decir que esta función debe utilizarse en dos casos:
Cuando sólo se espera una fila, para obtener esa fila sólo. Por ejemplo:
$row = $stmt->fetch(PDO::FETCH_ASSOC);
Le dará una fila de la consulta, en forma de matriz asociativa.
- Cuando necesitamos procesar los datos devueltos de alguna manera antes de usarlos. En este caso tiene que ser ejecutado a través de un bucle habitual, como el
foreach
mostrado anteriormente.
Otro modo útil es PDO::FETCH_CLASS
, que puede crear un objeto de clase particular:
$news = $pdo->query('SELECT * FROM news')->fetchAll(PDO::FETCH_CLASS, 'News');
producirá una matriz de objetos de la clase News
, estableciendo las propiedades de la clase a los valores devueltos. Tenga en cuenta que en este modo:
- Las propiedades se establecen antes de llamar al constructor
- para todas las propiedades indefinidas debe llamarse al método mágico
__set
- si no hay un método
__set
en la clase, se creará una nueva propiedad
- las propiedades privadas se llenarán también, esto es un poco inesperado, pero muy práctico
Tenga en cuenta que el modo predeterminado es PDO::FETCH_BOTH
, pero puede cambiarlo usando la opción de configuración PDO::ATTR_DEFAULT_FETCH_MODE
como se muestra en el ejemplo de conexión. Por lo tanto, una vez establecido, puede omitirse la mayor parte del tiempo.
2.3 Obtención de datos fuera de la declaración en docenas de diferentes formatos: fetchAll()
fetchAll()
es la función más interesante, con las características más asombrosas. Sobre todo gracias a su existencia se puede llamar a PDO un envoltorio, ya que esta función puede automatizar muchas operaciones realizadas de otra manera manualmente.
fetchAll()
devuelve una matriz que consiste en todas las filas devueltas por la consulta. De este hecho podemos sacar dos conclusiones:
Esta función no debe utilizarse si se han seleccionado muchas filas. En caso de que un bucle while
convencional deba ser utilizado, es mejor buscar las filas una por una en vez de conseguirlas todas en el arsenal inmediatamente. "Muchos" significa más de lo que es adecuado para mostrarse en una página web promedio.
Esta función es útil sobre todo en una aplicación web moderna que nunca envía datos inmediatamente durante la búsqueda, sino que la pasa a la plantilla.
Usted se sorprenderá, en cuántos formatos diferentes esta función puede devolver datos (y lo poco que un usuario promedio de PHP sabe de ellos), todos controlados por las variables PDO::FETCH_*
. Algunos de ellos son:
2.3.1 Obteniendo una matriz plana
De forma predeterminada, esta función devolverá simplemente una matriz enumerada con todas las filas devueltas. Pero constantes de formato de fila, como PDO::FETCH_NUM
, PDO::FETCH_ASSOC
, PDO::FETCH_OBJ
, etc. pueden cambiar el formato de fila. Por ejemplo:
$data = $pdo->query('SELECT name FROM users')->fetchAll();
var_export($data);
/* array (
0 => array('John'),
1 => array('Mike'),
2 => array('Mary'),
3 => array('Kathy'),
)*/
2.3.2 Obteniendo una columna
A menudo es muy útil obtener una matriz unidimensional simple fuera de la consulta, si sólo se necesita una columna entre muchas filas obtenidas:
$data = $pdo->query('SELECT name FROM users')->fetchAll(PDO::FETCH_COLUMN);
/* array (
0 => 'John',
1 => 'Mike',
2 => 'Mary',
)*/
2.3.3 Obteniendo pares llave-valor (key-value)
La constante PDO::FETCH_KEY_PAIR
se revela muy útil cuando necesitamos obtener la misma columna, pero no indexada por números en orden sino por otro campo:
$data = $pdo->query('SELECT id, name FROM users')->fetchAll(PDO::FETCH_KEY_PAIR);
/* array (
104 => 'John',
110 => 'Mike',
120 => 'Mary',
)*/
Tenga en cuenta que tiene que seleccionar sólo dos columnas para este modo, la primera de las cuales debe tener valores únicos.
2.3.4 Obteniendo filas indexadas por un campo único
PDO::FETCH_UNIQUE
hace algo igual a lo de arriba, pero no obteniendo una columna sino una fila completa, pero indexada por un campo único:
$data = $pdo->query('SELECT * FROM users')->fetchAll(PDO::FETCH_UNIQUE);
/* array (
104 => array (
'name' => 'John',
'car' => 'Toyota',
),
110 => array (
'name' => 'Mike',
'car' => 'Ford',
),
120 => array (
'name' => 'Mary',
'car' => 'Mazda',
),
)*/
Tenga en cuenta que la primera columna seleccionada tiene que ser única (en esta consulta se supone que la primera columna es id, pero para estar más seguro es mejor listarla de forma explícita).
2.3.5 Obtención de filas agrupadas por algún campo
PDO::FETCH_GROUP
agrupará las filas en una matriz anidada, donde los índices serán valores únicos de las primeras columnas, y los valores serán arrays similares a los devueltos por fetchAll()
. El siguiente código, por ejemplo, separará a los niños de las niñas y los pondrá en diferentes matrices:
$data = $pdo->query('SELECT sex, name, car FROM users')->fetchAll(PDO::FETCH_GROUP);
/* array (
'male' => array (
0 => array (
'name' => 'John',
'car' => 'Toyota',
),
1 => array (
'name' => 'Mike',
'car' => 'Ford',
),
),
'female' => array (
0 => array (
'name' => 'Mary',
'car' => 'Mazda',
),
1 => array (
'name' => 'Kathy',
'car' => 'Mazda',
),
),
)*/
Por lo tanto, esta es la solución ideal para una demanda tan popular como "eventos agrupados por fecha" o "productos agrupados por categoría".
Otros modos
Por supuesto, hay un PDO::FETCH_FUNC
para los amantes de la programación funcional.
2.5 Contando filas con PDO
Aunque PDO ofrece una función llamada rowCount()
esta suele ser usada inadecuadamente en muchos ejemplos de código, sobre todo en dos casos:
Para saber si una consulta arroja datos. Si lo piensa, verá que se trata de una función de uso indebido en la web. La mayor parte del tiempo se utiliza para no contar nada, sino como una mera bandera (sólo para ver si había datos devueltos). Pero para tal caso ¡usted tiene los datos en sí! Solo obtenga sus datos, usando fetch()
o fetchAll()
y podrá hacer las verificaciones con ellos.
$stmt = $pdo->prepare("SELECT 1 FROM users WHERE name=?");
$stmt->execute([$name]);
$userExists = $stmt->fetchColumn();
Exactamente lo mismo con conseguir una sola fila o una matriz con filas:
$data = $pdo->query("SELECT * FROM table")->fetchAll();
if ($data) {
// ¡Tiene los datos, no necesita para nada usar rowCount()!
}
Recuerde que en este primer caso no necesita el recuento, el número real de filas, sino más bien una bandera booleana para verificar si hay datos.
El segundo caso de uso más popular para esta función nunca debe ser utilizado en absoluto. ¡Uno nunca debe utilizar el rowCount()
para contar las filas en la base de datos! En su lugar, uno tiene que pedir a la base de datos que los cuente y devuelva el resultado en una sola fila:
$count = $pdo->query("SELECT count(1) FROM t")->fetchColumn();
Esta es la única manera apropiada.
En esencia:
- Si necesita saber cuántas filas hay en la tabla, utilice la consulta
SELECT COUNT (*)
.
- Si necesita saber si su consulta ha devuelto cualquier dato, compruebe los datos.
- Si todavía necesitas saber cuántas filas ha sido devuelta por alguna consulta (aunque apenas puedo imaginar un caso), puedes usar
rowCount()
o simplemente llamar count()
a la matriz devuelta por fetchAll()
).
4.6 Filas afectadas y último id
insertado
PDO utiliza la función rowCount()
para devolver tanto el número de filas devueltas por la instrucción SELECT
como el número de filas afectadas por consultas DML. Por lo tanto, para obtener el número de filas afectadas, simplemente llame a esta función después de realizar una consulta.
Otra pregunta frecuente es causada por el hecho de que MySQL no actualizará la fila, si el nuevo valor es el mismo que el antiguo. Por lo tanto, el número de filas afectadas podría diferir del número de filas igualadas por la cláusula WHERE
. A veces es necesario conocer este último número.
Aunque puede indicar a rowCount()
que devuelva el número de filas igualadas en lugar de las filas afectadas al establecer la opción PDO::MYSQL_ATTR_FOUND_ROWS
como TRUE
, hay que tener en cuenta que esta es una opción de conexión única y, por lo tanto, no puede cambiar su comportamiento durante el tiempo de ejecución. Lo cual en muchos contextos podría no ser muy conveniente.
Desafortunadamente, no hay ninguna contraparte PDO para la función mysql(i)_info()
que puede ser fácilmente analizada y el número deseado encontrado. Este es uno de los inconvenientes menores PDO.
Un identificador auto-generado de un campo de secuencia o auto_increment en MySQL se puede obtener con la función
lastInsertId
. Una respuesta a una pregunta frecuente, "¿Es esta función segura de usar en un entorno concurrente?" La respuesta es: sí, es seguro. Al ser simplemente una interfaz para la función
mysql_insert_id()
de la API MySQL C, es perfectamente seguro.
2.6 Consultas preparadas y cláusula LIKE
A pesar de la facilidad general de uso de PDO, hay algunas dificultades. Una de las principales es cuando tenemos que utilizar marcadores de posición con la cláusula LIKE
. Al principio se podría pensar que tal consulta funciona:
$stmt = $pdo->prepare("SELECT * FROM table WHERE name LIKE '%?%'");
Pero no, producirá un error. Para entender su naturaleza, uno tiene que entender que, como se dijo anteriormente, un marcador de posición tiene que representar un literal completo de datos solamente una cadena o un número. Y de ninguna manera puede representar una parte de un literal o una parte arbitraria de SQL. Por lo tanto, al trabajar con LIKE
, tenemos que preparar nuestro literal completo primero, y luego enviarlo a la consulta de la manera habitual:
$search = "%$search%";
$stmt = $pdo->prepare("SELECT * FROM table WHERE name LIKE ?");
$stmt->execute([$search]);
$data = $stmt->fetchAll();
2.8 Declaraciones preparadas y cláusula IN
Al igual que se dijo anteriormente, es imposible sustituir una parte de consulta arbitraria con un marcador de posición. Por lo tanto, para los valores separados por comas, como para IN ()
, se debe crear un conjunto de ?
manualmente y ponerlos en la consulta:
$arr = [1,2,3];
$in = str_repeat('?,', count($arr) - 1) . '?';
$sql = "SELECT * FROM table WHERE column IN ($in)";
$stm = $db->prepare($sql);
$stm->execute($arr);
$data = $stm->fetchAll();
En caso de que haya otros marcadores de posición en la consulta, puede utilizar la función array_merge()
para unir todas las variables en una sola matriz, agregando las demás variables en forma de matrices, en el orden en que aparecen en la consulta:
$arr = [1,2,3];
$in = str_repeat('?,', count($arr) - 1) . '?';
$sql = "SELECT * FROM table WHERE foo=? AND column IN ($in) AND bar=? AND baz=?";
$stm = $db->prepare($sql);
$params = array_merge([$foo], $arr, [$bar, $baz]);
$stm->execute($params);
$data = $stm->fetchAll();
Si está utilizando marcadores de posición con nombre, el código sería un poco más complejo, ya que tiene que crear una secuencia de los marcadores de posición con nombre: p. e.: :id0,:id1,:id2
El código sería:
// other parameters that are going into query
$params = ["foo" => "foo", "bar" => "bar"];
$ids = [1,2,3];
$in = "";
foreach ($ids as $i => $item)
{
$key = ":id".$i;
$in .= "$key,";
$in_params[$key] = $item; // collecting values into key-value array
}
$in = rtrim($in,","); // :id0,:id1,:id2
$sql = "SELECT * FROM table WHERE foo=:foo AND id IN ($in) AND bar=:bar";
$stm = $db->prepare($sql);
$stm->execute(array_merge($params,$in_params)); // just merge two arrays
$data = $stm->fetchAll();
Afortunadamente, para los marcadores de posición con nombres no tenemos que seguir el orden estricto, así que podemos combinar nuestros arrays en cualquier orden.
Comentarios
Publicar un comentario