Работа с базами данных в PHP

Автор

принадлежность

Бизюк Андрей

ВГТУ

Особенности работы с БД в PHP

Описание

Работа с базой данных в PHP является важной частью разработки веб-приложений. PHP предоставляет несколько способов взаимодействия с базами данных.

Работа с базами данных в PHP включает в себя ряд особенностей и рекомендаций, которые следует учитывать:

1. Выбор библиотеки: В PHP существует несколько библиотек для работы с базами данных, такие как MySQLi, PDO, и другие. Выбор зависит от предпочтений и требований вашего проекта. PDO предоставляет абстракцию, позволяя работать с различными СУБД.

2. Обработка ошибок: Важно включать обработку ошибок при работе с базами данных. Функции, такие как mysqli_connect_error(), mysqli_error(), или методы обработки исключений в PDO, могут использоваться для обработки ошибок подключения и выполнения запросов.

3. Подготовленные запросы: Использование подготовленных запросов повышает безопасность при работе с базой данных, предотвращая SQL-инъекции. Подготовленные запросы предоставляются как MySQLi, так и PDO.

4. Транзакции: Транзакции позволяют выполнять группу операций как единое целое, обеспечивая целостность данных. Для начала и завершения транзакции используйте mysqli_begin_transaction(), mysqli_commit(), и mysqli_rollback() для MySQLi, а для PDO - методы beginTransaction(), commit(), и rollBack().

5. Закрытие соединения: После завершения работы с базой данных важно закрывать соединение, чтобы освободить ресурсы. Используйте mysqli_close() для MySQLi или не требуется явно закрывать соединение в PDO.

6. Управление кодировкой: Убедитесь, что вы правильно управляете кодировкой данных в базе данных. Установка кодировки можно выполнить с помощью mysqli_set_charset() для MySQLi или указав параметры подключения в DSN для PDO.

7. Кеширование запросов: Рассмотрите возможность использования кеширования запросов для улучшения производительности. Это может быть особенно полезно при выполнении сложных запросов.

8. Безопасность: При работе с данными извне (например, получаемыми от пользователя) обязательно следите за безопасностью. Используйте подготовленные запросы, фильтрацию ввода, и другие меры, чтобы предотвратить атаки.

Применение этих особенностей в сочетании с передовыми методами разработки может значительно улучшить безопасность и производительность ваших приложений, работающих с базами данных в PHP.

Библиотеки для работы с БД в PHP

В PHP существует несколько библиотек для работы с базами данных. Ниже приведены некоторые из наиболее распространенных:

1. MySQLi (MySQL Improved):

   • Официальное расширение для работы с MySQL.

   • Поддерживает подготовленные запросы, транзакции и другие современные функции.

   • Пример использования:

     $conn = new mysqli("localhost", "username", "password", "database");

2. PDO (PHP Data Objects):

   • Абстракция базы данных, поддерживающая несколько СУБД (MySQL, PostgreSQL, SQLite, и др.).

   • Предоставляет безопасные подготовленные запросы и другие возможности.

   • Пример использования:

     $dsn = "mysql:host=localhost;dbname=database";
     $username = "username";
     $password = "password";
     $conn = new PDO($dsn, $username, $password);

3. Doctrine DBAL:

   • Компонент Doctrine для работы с базами данных.

   • Предоставляет абстракцию базы данных и удобные методы работы с запросами.

   • Пример использования:

     use Doctrine\DBAL\DriverManager;
     
     $connectionParams = [
         'dbname' => 'database',
         'user' => 'username',
         'password' => 'password',
         'host' => 'localhost',
         'driver' => 'mysqli', // или другой драйвер
     ];
     
     $conn = DriverManager::getConnection($connectionParams);

4. Eloquent (Laravel ORM):

   • ORM (Object-Relational Mapping) для Laravel.

   • Позволяет взаимодействовать с базой данных, используя объекты вместо SQL-запросов.

   • Пример использования:

     $users = User::where('name', 'John')->get();

5. Medoo:

   • Легковесная библиотека для работы с базами данных.

   • Поддерживает различные СУБД и предоставляет простой и понятный интерфейс.

   • Пример использования:

     $database = new Medoo([
         'database_type' => 'mysql',
         'database_name' => 'database',
         'server' => 'localhost',
         'username' => 'username',
         'password' => 'password',
     ]);

Использование MySQLi

Подключение к MySQLi

Подключение к базе данных MySQL с использованием расширения MySQLi в PHP включает в себя несколько шагов. Вот пример кода для подключения:

<?php
$servername = "localhost";
$username = "пользователь";
$password = "пароль";
$dbname = "название_базы_данных";

// Создание соединения
$conn = new mysqli($servername, $username, $password, $dbname);

// Проверка соединения
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

echo "Connected successfully";

// Закрытие соединения (важно при завершении работы с базой данных)
$conn->close();
?>

В этом примере:

• $servername - это имя сервера базы данных (обычно “localhost” для локального сервера).

• $username - это имя пользователя базы данных.

• $password - это пароль пользователя базы данных.

• $dbname - это имя базы данных, к которой вы хотите подключиться.

Если подключение успешно, скрипт выведет “Connected successfully”. В противном случае, если есть проблемы с подключением, будет выведено сообщение об ошибке.

Выполнение запросов

Для выполнения SQL-запросов с использованием MySQLi в PHP, вы можете воспользоваться методом query. Вот примеры различных видов запросов:

1. SELECT-запрос:

   $sql = "SELECT id, имя, email FROM пользователи";
   $result = $conn->query($sql);
   
   if ($result->num_rows > 0) {
       while ($row = $result->fetch_assoc()) {
           echo "ID: " . $row["id"] . " Имя: " . $row["имя"] . " Email: " . $row["email"] . "<br>";
       }
   } else {
       echo "Нет результатов";
   }

2. INSERT-запрос:

   $имя = "Новый пользователь";
   $email = "user@example.com";
   
   $sql = "INSERT INTO пользователи (имя, email) VALUES ('$имя', '$email')";
   
   if ($conn->query($sql) === TRUE) {
       echo "Запись успешно добавлена";
   } else {
       echo "Ошибка: " . $sql . "<br>" . $conn->error;
   }

3. UPDATE-запрос:

   $новоеИмя = "Обновленный пользователь";
   $userId = 1;
   
   $sql = "UPDATE пользователи SET имя='$новоеИмя' WHERE id=$userId";
   
   if ($conn->query($sql) === TRUE) {
       echo "Запись успешно обновлена";
   } else {
       echo "Ошибка: " . $sql . "<br>" . $conn->error;
   }

4. DELETE-запрос:

   $userIdToDelete = 2;
   
   $sql = "DELETE FROM пользователи WHERE id=$userIdToDelete";
   
   if ($conn->query($sql) === TRUE) {
       echo "Запись успешно удалена";
   } else {
       echo "Ошибка: " . $sql . "<br>" . $conn->error;
   }

Получение результата

При использовании MySQLi в PHP для выполнения SELECT-запросов и получения строк ответа, можно использовать различные методы.

1. Использование fetch_assoc() для получения ассоциативного массива:

   $sql = "SELECT id, имя, email FROM пользователи";
   $result = $conn->query($sql);
   
   if ($result->num_rows > 0) {
       while ($row = $result->fetch_assoc()) {
           echo "ID: " . $row["id"] . " Имя: " . $row["имя"] . " Email: " . $row["email"] . "<br>";
       }
   } else {
       echo "Нет результатов";
   }

2. Использование fetch_row() для получения индексированного массива:

   $sql = "SELECT id, имя, email FROM пользователи";
   $result = $conn->query($sql);
   
   if ($result->num_rows > 0) {
       while ($row = $result->fetch_row()) {
           echo "ID: " . $row[0] . " Имя: " . $row[1] . " Email: " . $row[2] . "<br>";
       }
   } else {
       echo "Нет результатов";
   }

3. Использование fetch_array() для получения как ассоциативного, так и индексированного массивов:

   $sql = "SELECT id, имя, email FROM пользователи";
   $result = $conn->query($sql);
   
   if ($result->num_rows > 0) {
       while ($row = $result->fetch_array()) {
           echo "ID: " . $row["id"] . " Имя: " . $row["имя"] . " Email: " . $row["email"] . "<br>";
           // Или можно использовать индексированный доступ: $row[0], $row[1], $row[2]
       }
   } else {
       echo "Нет результатов";
   }

Выбор конкретного метода зависит от ваших предпочтений и требований. Обычно fetch_assoc() предпочтителен, так как он предоставляет ассоциативный массив с ключами, соответствующими именам столбцов в результирующем наборе данных.

Подготовленные запросы

Использование подготовленных запросов в MySQLi является хорошей практикой, поскольку это обеспечивает безопасность от SQL-инъекций и может повысить производительность, особенно при многократном выполнении одного и того же запроса с разными параметрами. Вот пример использования подготовленных запросов в MySQLi:

$servername = "localhost";
$username = "пользователь";
$password = "пароль";
$dbname = "название_базы_данных";

// Создание соединения
$conn = new mysqli($servername, $username, $password, $dbname);

// Проверка соединения
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// Пример SELECT-запроса с использованием подготовленного запроса
$user_id = 1;
$sql = "SELECT id, имя, email FROM пользователи WHERE id = ?";
$stmt = $conn->prepare($sql);

// Проверка успешности подготовки запроса
if ($stmt) {
    // Привязка параметров
    $stmt->bind_param("i", $user_id);

    // Выполнение запроса
    $stmt->execute();

    // Получение результатов
    $result = $stmt->get_result();

    // Обработка результатов
    while ($row = $result->fetch_assoc()) {
        echo "ID: " . $row["id"] . " Имя: " . $row["имя"] . " Email: " . $row["email"] . "<br>";
    }

    // Закрытие запроса
    $stmt->close();
} else {
    echo "Ошибка подготовки запроса: " . $conn->error;
}

// Закрытие соединения
$conn->close();

В приведенном выше примере:

• ? в запросе представляет собой параметр, который будет заменен конкретным значением при выполнении запроса.

• bind_param("i", $user_id) используется для привязки значения $user_id к параметру в запросе. Тип i указывает, что это целое число (integer).

• execute() выполняет подготовленный запрос.

• get_result() используется для получения результата запроса в виде объекта mysqli_result.

• fetch_assoc() используется для получения ассоциативного массива с данными.

Вызов хранимых процедур и функций

Для вызова хранимых процедур и функций в MySQL с использованием MySQLi в PHP, вы можете воспользоваться методом prepare и call для процедур, а также SELECT для функций. Вот примеры:

1. Вызов хранимой процедуры:

   Предположим, у вас есть хранимая процедура GetUser:

   DELIMITER //
   CREATE PROCEDURE GetUser(IN userId INT)
   BEGIN
       SELECT id, имя, email FROM пользователи WHERE id = userId;
   END //
   DELIMITER ;

   Теперь вы можете вызвать эту процедуру в PHP:

   $userId = 1;
   $stmt = $conn->prepare("CALL GetUser(?)");
   $stmt->bind_param("i", $userId);
   $stmt->execute();
   
   $result = $stmt->get_result();
   
   while ($row = $result->fetch_assoc()) {
       echo "ID: " . $row["id"] . " Имя: " . $row["имя"] . " Email: " . $row["email"] . "<br>";
   }
   
   $stmt->close();

2. Вызов хранимой функции:

   Предположим, у вас есть хранимая функция GetUserName:

   DELIMITER //
   CREATE FUNCTION GetUserName(IN userId INT) RETURNS VARCHAR(255)
   BEGIN
       DECLARE userName VARCHAR(255);
       SELECT имя INTO userName FROM пользователи WHERE id = userId;
       RETURN userName;
   END //
   DELIMITER ;

   Теперь вы можете вызвать эту функцию в PHP:

   $userId = 1;
   $sql = "SELECT GetUserName(?) AS userName";
   $stmt = $conn->prepare($sql);
   $stmt->bind_param("i", $userId);
   $stmt->execute();
   
   $result = $stmt->get_result();
   $row = $result->fetch_assoc();
   
   echo "Имя пользователя: " . $row["userName"];
   
   $stmt->close();

Закрытие соединения

Закрытие соединения с базой данных в MySQLi осуществляется с использованием метода close() объекта соединения. Это важно для освобождения ресурсов и предотвращения утечек памяти. Вот пример:

// ...

// Закрытие соединения
$conn->close();

Обычно закрытие соединения выполняется после выполнения всех операций с базой данных, когда соединение больше не нужно. Например, в конце выполнения скрипта или после завершения выполнения запросов.

Пример использования закрытия соединения после выполнения нескольких запросов:

$servername = "localhost";
$username = "пользователь";
$password = "пароль";
$dbname = "название_базы_данных";

// Создание соединения
$conn = new mysqli($servername, $username, $password, $dbname);

// Проверка соединения
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// Выполнение SQL-запросов...
$sql1 = "SELECT * FROM таблица1";
$result1 = $conn->query($sql1);

$sql2 = "INSERT INTO таблица2 (column1) VALUES ('значение')";
$result2 = $conn->query($sql2);

// Закрытие соединения
$conn->close();

Важно заметить, что после закрытия соединения дальнейшие попытки выполнения запросов через это соединение приведут к ошибкам. Если вам снова нужно взаимодействовать с базой данных, вы должны будете создать новое соединение.

SQL инъекции

SQL-инъекция - это техника, при которой злоумышленник использует недостатки в коде приложения, отвечающего за построение динамических SQL-запросов. Злоумышленник может получить доступ к привилегированным разделам приложения, получить всю информацию из базы данных, подменить существующие данные или даже выполнить опасные команды системного уровня на узле базы данных. Уязвимость возникает, когда разработчики конкатенируют или интерполируют произвольный ввод в SQL-запросах.

Пример #1 Постраничный вывод результата и создание суперпользователя в PostgreSQL

В следующем примере пользовательский ввод напрямую интерполируется в SQL-запрос, что позволяет злоумышленнику получить учётную запись суперпользователя в базе данных.

<?php

$offset = $_GET['offset']; // осторожно, нет валидации ввода!
$query  = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
$result = pg_query($conn, $query);
?>

Обычно пользователи нажимают по ссылкам ‘вперёд’ и ‘назад’, вследствие чего значение переменной $offset заносится в URL. Скрипт ожидает, что $offset - десятичное число. Однако, взломщик может попытаться взломать систему, присоединив к URL следующее значение:

0;
insert into pg_shadow(usename,usesysid,usesuper,usecatupd,passwd)
  select 'crack', usesysid, 't','t','crack'
  from pg_shadow where usename='postgres';
--

Если это произойдёт, скрипт предоставит злоумышленнику доступ суперпользователя. Обратите внимание, что значение 0; использовано для того, чтобы задать правильное смещение для первого запроса и корректно его завершить.

Уведомление

Замечание:

Это распространённый приём, чтобы заставить синтаксический анализатор SQL игнорировать остальную часть запроса, написанного разработчиком с помощью --, который является знаком комментария в SQL.

Ещё один вероятный способ получить пароли учётных записей в БД - атака страниц, предоставляющих поиск по базе. Злоумышленнику нужно лишь проверить, используется ли в запросе передаваемая на сервер и необрабатываемая надлежащим образом переменная. Это может быть один из устанавливаемых на предыдущей странице фильтров, таких как WHERE, ORDER BY, LIMIT и OFFSET, используемых при построении запросов SELECT. В случае, если используемая вами база данных поддерживает конструкцию UNION, злоумышленник может присоединить к оригинальному запросу ещё один дополнительный, для извлечения пользовательских паролей. Настоятельно рекомендуем использовать только зашифрованные пароли.

Пример #2 Листинг статей… и некоторых паролей (для любой базы данных)

<?php

$query  = "SELECT id, name, inserted, size FROM products
         WHERE size = '$size'";
$result = odbc_exec($conn, $query);
?>

Статическая часть запроса может комбинироваться с другим SELECT-запросом, который выведет все пароли:

'
union select '1', concat(uname||'-'||passwd) as name, '1971-01-01', '0' from usertable;
--

Выражения UPDATE и INSERT также подвержены таким атакам.

Пример #3 От сброса пароля до получения дополнительных привилегий (любой сервер баз данных)

<?php
$query = "UPDATE usertable SET pwd='$pwd' WHERE uid='$uid';";
?>

Но злоумышленник может ввести значение ' or uid like'%admin%' для переменной $uid для изменения пароля администратора или просто присвоить переменной $pwd значение hehehe', trusted=100, admin='yes для получения дополнительных привилегий. При выполнении запросы переплетаются:

<?php

// $uid: ' or uid like '%admin%
$query = "UPDATE usertable SET pwd='...' WHERE uid='' or uid like '%admin%';";

// $pwd: hehehe', trusted=100, admin='yes
$query = "UPDATE usertable SET pwd='hehehe', trusted=100, admin='yes' WHERE ...;";
?>

Обеспечение безопасности запросов

Обеспечение безопасности запросов в базах данных является ключевым аспектом разработки веб-приложений. Ниже приведены некоторые основные меры безопасности при работе с запросами в MySQLi в PHP:

1. Использование подготовленных запросов:
   • Подготовленные запросы помогают предотвратить атаки SQL-инъекций, так как они автоматически экранируют вводные данные.
2. Правильная обработка входных данных:
   • Всегда фильтруйте и проверяйте данные, поступающие из пользовательского ввода, прежде чем использовать их в запросах.
   • Используйте функции, такие как mysqli_real_escape_string() для экранирования строк.
   • Предпочитайте использование подготовленных запросов и параметризованных запросов для автоматической фильтрации ввода.
3. Ограничение прав доступа к базе данных:
   • Предоставляйте минимальные необходимые права доступа пользователям базы данных. Избегайте использования суперпользователя для подключения к базе данных из PHP.
4. Хэширование паролей:
   • Если вы храните пароли в базе данных, используйте хэширование (например, с использованием функции password_hash() в PHP) и избегайте прямого сохранения паролей.
5. Обработка ошибок:
   • Надежная обработка ошибок при выполнении запросов может предотвратить утечку чувствительной информации.
   • В режиме разработки вы можете выводить подробные сообщения об ошибках, но в производственной среде лучше настроить их обработку так, чтобы не раскрывать чувствительные данные.
6. Использование параметризованных запросов:
   • При работе с параметрами, такими как имена таблиц или столбцов, убедитесь, что они проверены и не могут быть изменены пользователем.
7. Обновление исходных данных:
   • При вставке или обновлении данных в базе данных убедитесь, что значения соответствуют ожидаемому формату. Например, проверяйте, что номер телефона действительно содержит только цифры.

Использование PDO

Описание

PHP Data Objects (PDO) - это расширение PHP, предоставляющее унифицированный интерфейс для взаимодействия с различными базами данных. PDO обеспечивает безопасность и поддерживает подготовленные запросы, что делает его предпочтительным выбором для работы с базами данных.

Подключение к БД

Для подключения к базе данных с использованием PDO в PHP, вам нужно выполнить несколько шагов. Вот базовый пример:

<?php
$host = 'localhost'; // Имя хоста базы данных
$dbname = 'название_базы_данных'; // Имя базы данных
$user = 'пользователь'; // Имя пользователя базы данных
$password = 'пароль'; // Пароль пользователя базы данных

try {
    // Создание подключения
    $pdo = new PDO("mysql:host=$host;dbname=$dbname;charset=utf8", $user, $password);

    // Установка режима обработки ошибок
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    echo "Connected successfully";
} catch (PDOException $e) {
    echo "Connection failed: " . $e->getMessage();
}
?>

В этом примере:

• mysql:host=$host;dbname=$dbname;charset=utf8 - строка подключения, которая содержит данные о хосте, названии базы данных и кодировке. Вам нужно изменить значения переменных $host, $dbname, $user и $password на свои.

• PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION - это установка режима обработки ошибок для PDO. В этом примере, если произойдет ошибка при подключении, PDO выбросит исключение (PDOException), и мы можем поймать его в блоке catch для вывода сообщения об ошибке.

Строки подключения

Строка подключения в PHP PDO для различных типов баз данных может выглядеть по-разному в зависимости от используемой базы данных.

MySQL

$host = 'localhost';
$dbname = 'название_базы_данных';
$user = 'пользователь';
$password = 'пароль';

try {
    $pdo = new PDO("mysql:host=$host;dbname=$dbname;charset=utf8", $user, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "Connected successfully";
} catch (PDOException $e) {
    echo "Connection failed: " . $e->getMessage();
}

PostgreSQL

$host = 'localhost';
$dbname = 'название_базы_данных';
$user = 'пользователь';
$password = 'пароль';

try {
    $pdo = new PDO("pgsql:host=$host;dbname=$dbname;user=$user;password=$password");
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "Connected successfully";
} catch (PDOException $e) {
    echo "Connection failed: " . $e->getMessage();
}

SQLite

$dbfile = 'путь_к_файлу.sqlite';

try {
    $pdo = new PDO("sqlite:$dbfile");
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "Connected successfully";
} catch (PDOException $e) {
    echo "Connection failed: " . $e->getMessage();
}

SQL Server

$host = 'localhost';
$dbname = 'название_базы_данных';
$user = 'пользователь';
$password = 'пароль';

try {
    $pdo = new PDO("sqlsrv:Server=$host;Database=$dbname", $user, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "Connected successfully";
} catch (PDOException $e) {
    echo "Connection failed: " . $e->getMessage();
}

Выполнение запросов

После установки соединения с базой данных с использованием PDO в PHP, вы можете выполнять SQL-запросы.

Выполнение простого запроса

try {
    $pdo = new PDO("mysql:host=localhost;dbname=название_базы_данных;charset=utf8", 'пользователь', 'пароль');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    $sql = "SELECT * FROM пользователи";
    $result = $pdo->query($sql);

    // Обработка результатов
    while ($row = $result->fetch(PDO::FETCH_ASSOC)) {
        echo "ID: " . $row['id'] . " Имя: " . $row['имя'] . " Email: " . $row['email'] . "<br>";
    }
} catch (PDOException $e) {
    echo "Query failed: " . $e->getMessage();
}

Использование подготовленного запроса

try {
    $pdo = new PDO("mysql:host=localhost;dbname=название_базы_данных;charset=utf8", 'пользователь', 'пароль');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    $имя = 'John';
    $stmt = $pdo->prepare("SELECT * FROM пользователи WHERE имя = :name");
    $stmt->bindParam(':name', $имя, PDO::PARAM_STR);
    $stmt->execute();

    // Обработка результатов подготовленного запроса
    while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
        echo "ID: " . $row['id'] . " Имя: " . $row['имя'] . " Email: " . $row['email'] . "<br>";
    }
} catch (PDOException $e) {
    echo "Query failed: " . $e->getMessage();
}

В обоих примерах:

• PDO::query используется для выполнения простых SQL-запросов.

• PDO::prepare используется для подготовки запроса с использованием параметров.

• bindParam используется для связывания параметра с переменной. - execute используется для выполнения подготовленного запроса.

• fetch используется для получения результата запроса.

Обработка ошибок с помощью блока try/catch поможет вам лучше управлять возможными проблемами при выполнении запросов.

Вызов хранимых процедур и функций

Вызов хранимых процедур и функций с использованием PDO в PHP выполняется аналогично вызову других типов запросов, но с некоторыми особенностями.

Вызов хранимой процедуры

try {
    $pdo = new PDO("mysql:host=localhost;dbname=название_базы_данных;charset=utf8", 'пользователь', 'пароль');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // Вызов хранимой процедуры без параметров
    $sql = "CALL имя_процедуры()";
    $pdo->query($sql);

    // Вызов хранимой процедуры с параметрами
    $param1 = 'значение1';
    $param2 = 'значение2';
    $sql = "CALL имя_процедуры(?, ?)";
    $stmt = $pdo->prepare($sql);
    $stmt->bindParam(1, $param1, PDO::PARAM_STR);
    $stmt->bindParam(2, $param2, PDO::PARAM_STR);
    $stmt->execute();

    echo "Stored procedure executed successfully";
} catch (PDOException $e) {
    echo "Error: " . $e->getMessage();
}

Вызов хранимой функции

try {
    $pdo = new PDO("mysql:host=localhost;dbname=название_базы_данных;charset=utf8", 'пользователь', 'пароль');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // Вызов хранимой функции без параметров
    $sql = "SELECT имя_функции() AS результат";
    $result = $pdo->query($sql);
    $row = $result->fetch(PDO::FETCH_ASSOC);
    echo "Result: " . $row['результат'];

    // Вызов хранимой функции с параметрами
    $param1 = 'значение1';
    $param2 = 'значение2';
    $sql = "SELECT имя_функции(?, ?) AS результат";
    $stmt = $pdo->prepare($sql);
    $stmt->bindParam(1, $param1, PDO::PARAM_STR);
    $stmt->bindParam(2, $param2, PDO::PARAM_STR);
    $stmt->execute();
    $row = $stmt->fetch(PDO::FETCH_ASSOC);
    echo "Result: " . $row['результат'];
} catch (PDOException $e) {
    echo "Error: " . $e->getMessage();
}

В обоих примерах:

• CALL используется для вызова хранимой процедуры.

• Хранимые функции могут быть вызваны внутри SQL-запроса, как показано во втором примере.

• bindParam используется для привязки параметров, если они есть.

• Результаты могут быть получены с использованием методов, таких как query или fetch.

Закрытие соединения

В PDO закрытие соединения с базой данных осуществляется путем установки объекта PDO в значение null или вызова метода unset для переменной, содержащей объект PDO. Вот пример:

try {
    $pdo = new PDO("mysql:host=localhost;dbname=название_базы_данных;charset=utf8", 'пользователь', 'пароль');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // Выполнение запросов или других операций с базой данных...

    // Закрытие соединения
    $pdo = null; // или unset($pdo);
} catch (PDOException $e) {
    echo "Error: " . $e->getMessage();
}

Важно понимать, что в PHP переменные, содержащие объекты, в основном являются ссылками на объекты. Поэтому установка переменной в null или вызов unset не всегда означает закрытие соединения. Однако в случае с PDO, когда вы устанавливаете $pdo = null; (или unset($pdo);), PDO обычно автоматически закрывает соединение с базой данных.

Также, при завершении выполнения сценария PHP, все открытые соединения автоматически закрываются, поэтому в большинстве случаев явное закрытие соединения не обязательно. Однако это может быть полезным в сценариях с длительным временем выполнения, где управление ресурсами базы данных становится более важным.