Parametrizace SQL dotazu

Při vývoji aplikací v PHP spolupracujících s některým z SQL serverů se můžete setkat s problematikou parametrizace dotazů. Pokud jste se již někdy do takové aplikace pustili, určite jste se setkali s takovýmto nebo podobným zápisem :

$dotaz="
  select id, nadpis, text
    from clanek
   where autor_id=$autor_id and
         datum>='$datum' and
         nadpis like '$nadpis'
";

Tento zápis je ale problematický v okamžiku kdy potřebujume oddělit definice SQL dotazů od vlastního PHP kódu, což se může hodit zejména v rozsáhlejších projektech, u kterých je třeba umožnit běh na různých SQL serverech, které jsou vzájemně syntakticky nekompatibilní.

K řešení toho problému jsem využil regulární výrazy a pole. Celý fígl spočívá v definici parametrů v SQL dotazu, jejich vyhledání pomocí regulárního výrazu a následném nahrazení definice hodnotami z pole.

Dejme tedy, že máme definici SQL dotazu $dotaz a hodnoty, které chceme naplnit v poli $hodnoty:

// dotaz
$dotaz="
  select id, nadpis, text
    from clanek
   where autor_id={autor_id:n} and
         datum>={datum:d} and
         nadpis like {nadpis:s}
";

// hodnoty
$hodnoty=array(
  „autor_id”=>1,
  „datum”=>strtodate('2004-01-01'),
  „nadpis”=>„%php%”
);

Předpokládám, že už vás napadlo, že veškeré definice parametrů jsou uvedeny ve složených závorkách, a to ve formátu {jméno_parametru:typ_parametru}. Pomocí funkce preg_match_all(), nyní vyhledáme všechny parametry a výsledek necháme uložit do pole $parametry.

preg_match_all("/{[^}]+}/",$dotaz,$parametry);

Následně odstraníme z parametrů složené závorky :

 $parametry=preg_replace(array(„/}/”,„/{/”), array(„”,„”),$parametry0);

Obsah proměnné $parametry nyní vypadá takto :

Array ( [0] => autor_id:n [1] => datum:d [2] => nadpis:s )

A pustíme se do parsování pole $parametry :

// projedeme vsechny nalezene parametry
while (list($hodnota,$definice)=each($parametry)) {
  if (strpos($definice,':')>0) {
    // rozlozime na jmeno a typ parametru
    list($jmeno,$typ)=split(':',$definice);
    // pokud hodnota neexistuje nastavime NULL
    if (array_key_exists($jmeno,$hodnoty))
      $hodnota=$hodnoty[$jmeno];
    else
      $hodnota=null;
    if (!is_null($hodnota))
      switch (strtoupper($typ)) {
        case 'D': // Datum
          $hodnota=„'”.date('Y-m-d',$hodnota).„'”;
          break;
        case 'S': // String
          $hodnota=„'”.$hodnota.„'”;
          break;
        case 'N': // Cislo
          break;
        default:
          die(„chybny typ parametru '$value'”);
      }
    else
      $hodnota=„null”;
    $dotaz=str_replace('{'.$definice.'}', $hodnota, $dotaz);
  } else {
    die(„definice typu parametru '$definice' nenalezena”);
  }
}

No a zakončíme to výpisem proměnné $dotaz :

echo($dotaz);

Pokud vše dopadlo dobře výsledek by měl vypadat asi takto :

select id, nadpis, text
  from clanek
 where autor_id=1 and
       datum>='2004-01-01' and
       nadpis like '%php%'

Celý kód se dá zabalit do jediné funkce a přímo se nabízí k řešení modifikace dat přijatých z formuláře, kde pole hodnot může být $HTTP_POST_VARS a dotazy mohou být uloženy v ini souboru nebo na SQL.

Tak a to je vše, jenom doufám, že mě tu nebudete kamenovat pokud nebudete sdílet mé nadšení z tohoto řešení, ale konstruktivní kritiku přijímam a proto pokud budete mít jakékoliv dotazy nebo připomínky pište do komentářů.

---

---

---

---

---