Qué son los marcadores de posición en consultas preparadas

Lenguaje de Programación

•

Engenharias

0

Oscar Enrique

15/8/2023

¡Estudia con miles de materiales!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

Lenguaje de Programación

8712 Materiales compartidos

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

¿Qué son los marcadores de posición en consultas preparadas (prepared statements) de 
PHP? 
 
Los marcadores de posición en consultas preparadas (prepared statements) de PHP son una 
técnica utilizada para enviar consultas SQL al servidor de la base de datos de manera segura 
y eficiente. En lugar de incrustar los valores directamente en la consulta SQL, se utilizan 
marcadores de posición (placeholders) en la consulta para representar los valores que serán 
proporcionados más tarde. 
 
Los marcadores de posición generalmente se representan mediante signos de interrogación 
(?) o dos puntos seguidos de un nombre (por ejemplo, :nombre). Cada marcador de posición 
en la consulta corresponde a un parámetro o valor que se suministrará cuando la consulta 
sea ejecutada. 
 
La principal ventaja de las consultas preparadas con marcadores de posición es que ayudan 
a prevenir ataques de inyección SQL, ya que los valores se tratan como datos, no como 
parte del código SQL. Esto hace que sea mucho más difícil para los atacantes inyectar código 
malicioso en las consultas, ya que los valores proporcionados se tratan automáticamente 
como datos y no como instrucciones SQL. 
 
Ejemplo de una consulta preparada con marcadores de posición en PHP utilizando signos de 
interrogación: 
 
```php 
// Supongamos que $nombre y $edad son los valores que queremos insertar en la base de 
datos 
$nombre = 'John Doe'; 
$edad = 30; 
 
// Consulta preparada con marcadores de posición 
$sql = 'INSERT INTO usuarios (nombre, edad) VALUES (?, ?)'; 
$stmt = $conexion->prepare($sql); 
 
// Asociar los valores a los marcadores de posición 
$stmt->bind_param('si', $nombre, $edad); 
 
// Ejecutar la consulta preparada 
$stmt->execute(); 
``` 
 
En este ejemplo, la consulta preparada tiene dos marcadores de posición (dos signos de 
interrogación) que representan los valores de nombre y edad que serán proporcionados 
más adelante. Luego, utilizamos el método `bind_param()` para asociar los valores a los 
marcadores de posición. El primer argumento de `bind_param()` es una cadena de 
caracteres que indica los tipos de datos de los valores que estamos pasando (en este caso, 
's' para cadena y 'i' para entero). 
 
Utilizar consultas preparadas con marcadores de posición es una práctica recomendada 
para proteger tus aplicaciones contra inyecciones SQL y asegurar la seguridad de las 
consultas SQL enviadas a la base de datos. Además, las consultas preparadas también 
pueden mejorar el rendimiento de la aplicación, ya que la base de datos puede compilar y 
almacenar en caché la consulta preparada para su uso posterior con diferentes valores de 
parámetros.