PDO MySQL: Diferencia entre bindParam y bindValue?

reborn · #1 (**permalink**) 28/10/2013, 20:32

Hola,

recien estoy empezando con PDO y llegué al punto de no saber si usar bindParam o bindValue, ya que no sé la diferencia y cual es recomendado usar, por ejemplo, en un INSERT

Yo lo estoy haciendo de esta forma:

Código PHP:

Ver originaltry{
        $this->_db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
        $con = $this->_db->prepare('INSERT INTO usuarios VALUES(:id, :name, :pass, :email, :confirm, :activo)');
        $con->bindValue(':id', '');
        $con->bindValue(':name', $user);
        $con->bindValue(':pass', $pass);
        $con->bindValue(':email', $email);
        $con->bindValue(':confirm', $clave);
        $con->bindValue(':activo', false);
        $con->execute();
        
}catch(PDOException $e) {
        echo 'ERROR: ' . $e->getMessage();
}

...es correcto eso?

Cómo puede prevenir inyecciones sql y demás?

Gracias

GatorV · #2 (**permalink**) 28/10/2013, 21:53

Como dicen el mismo nombre la diferencia es esa, bindValue ata un parámetro a un valor dado, y bindParam a una variable, por lo que puedes hacer consultas preparadas en un ciclo, por ejemplo:

Código PHP:

Ver original$stmt = $con->prepare("INSERT INTO colors VALUES (?)");
$stmt->bindParam(1, $color, PDO::PARAM_STR);
 
$colors = array('black', 'blue', 'red', 'yellow');
foreach ($colors as $color) {
        $stmt->execute();
}

Con bindValue solo lo haces al valor que le defines al momento que mandas llamar.

El que uses cualquiera de los dos, te ayuda a prevenir inyecciones por el simple hecho de que primero se manda la consulta preparada al servidor y luego mandas los valores, con lo cual previenes la inyección.

Saludos.

reborn · #3 (**permalink**) 28/10/2013, 22:32

Cita:

Iniciado por GatorV

Como dicen el mismo nombre la diferencia es esa, bindValue ata un parámetro a un valor dado, y bindParam a una variable, por lo que puedes hacer consultas preparadas en un ciclo, por ejemplo:

Código PHP:

Ver original$stmt = $con->prepare("INSERT INTO colors VALUES (?)");
$stmt->bindParam(1, $color, PDO::PARAM_STR);
 
$colors = array('black', 'blue', 'red', 'yellow');
foreach ($colors as $color) {
        $stmt->execute();
}

Con bindValue solo lo haces al valor que le defines al momento que mandas llamar.

El que uses cualquiera de los dos, te ayuda a prevenir inyecciones por el simple hecho de que primero se manda la consulta preparada al servidor y luego mandas los valores, con lo cual previenes la inyección.

Saludos.

Gracias pero igual sigo confundido, ya q en el manual de php dice lo mismo q me estas explicando vos y da los mismos ejemplos para los dos casos y no me doy cuenta de la diferencia.

bindValue: Vincula un valor al parámetro de sustitución...

bindParam: Vincula una variable de PHP a un parámetro de sustitución con nombre...

Lo q no logro entender es, en este caso, a q le llama Valor y a q Variable...

Yo lo entiendo como q bindValue se usa para un valor unico o estatico y bindParam como en el ejemplo q me diste vos, con el array, para muchos valores dentro de una variable.

Esa es la diferencia q no puedo ver

GatorV · #4 (**permalink**) 29/10/2013, 09:45

Es que no se cual es tu duda, un valor es algo lo que vale, por ejemplo si tenemos algo así:

Código PHP:

Ver original$var = 'foo';

El valor de esa variable es "foo", y el nombre de la variable es $var, cuando tu usas bindValue, no lo atas a $var, si no a "foo" entonces siempre que llames a execute() va a usar "foo" porque es el valor, si usas bindParam, entonces usa $var (por referencia) y siempre que llames a execute, va a ir a buscar a $var y va a tomar el valor que tenga en ese momento, así puedes ir cambiando el valor de $var y llamar a execute, sin tener que volver a preparar el query...

reborn · #5 (**permalink**) 29/10/2013, 13:49

Cita:

Iniciado por GatorV

Es que no se cual es tu duda, un valor es algo lo que vale, por ejemplo si tenemos algo así:

Código PHP:

Ver original$var = 'foo';

El valor de esa variable es "foo", y el nombre de la variable es $var, cuando tu usas bindValue, no lo atas a $var, si no a "foo" entonces siempre que llames a execute() va a usar "foo" porque es el valor, si usas bindParam, entonces usa $var (por referencia) y siempre que llames a execute, va a ir a buscar a $var y va a tomar el valor que tenga en ese momento, así puedes ir cambiando el valor de $var y llamar a execute, sin tener que volver a preparar el query...

Ahora si creo q me quedo claro...

Por ejemplo, quiero darle de baja a 5 usuarios al mismo tiempo y hago un UPDATE y utilizo bindParam, me conviene meter esos 5 usuarios en un array: $users = array(); y la consulta se realizar con el mismo prepare?, o sea q bindValue puede ser mas lento al realizar consultas?...

GatorV · #6 (**permalink**) 29/10/2013, 15:21

Pues en ese caso te conviene mejor usar un solo query, te evitas la sobrecarga de hacer "n" queries:

Código SQL:

Ver originalUPDATE `foo`='bar' WHERE id IN (1, 5, 18, 20)
DELETE FROM `users` WHERE id IN (61, 123, 5534)

Saludos.

reborn · #7 (**permalink**) 29/10/2013, 16:19

Ok, gracias, justo estoy haciendo esa parte de "updatear".

Saludos