Abordagem do PDO para prevenir a injeção de SQL

Se você fez a transição da biblioteca mysql para o PDO, pode estar se perguntando como substituir o real_escape_string função para escapar de aspas simples em strings destinadas ao seu banco de dados. Embora adicionar barras a cada string possa parecer complicado, o PDO oferece uma alternativa mais eficiente.

O poder do PDO Prepare

Para proteger contra injeção de SQL, o PDO recomenda usar seu método prepare(). Este método otimiza o desempenho do seu aplicativo, permitindo o armazenamento em cache de planos de consulta e metainformações. Além disso, elimina a necessidade de cotação manual de parâmetros, evitando assim ataques de injeção de SQL.

Como funciona o PDO Prepare

Quando você executa PDO::prepare(), PDO estabelece uma declaração preparada. Esta instrução é então compilada e armazenada em cache, melhorando a eficiência da execução. Quando estiver pronto para executar a consulta com parâmetros, você chama PDOStatement::execute(), que injeta os parâmetros na instrução preparada sem a necessidade de aspas manuais.

Exemplo de uso

Aqui está um exemplo de uso de PDO prepare() e execute():

$pdo = new PDO("...");
$sql = "INSERT INTO users (username, email) VALUES (?, ?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$username, $email]);

Ao usar PDO prepare() e execute(), você pode executar consultas parametrizadas com segurança sem a necessidade de escape manual de string. Isso simplifica seu código e aumenta a segurança, evitando ataques de injeção de SQL.