১. Prepared Statements কী?
Prepared Statements হলো একটি SQL কুয়েরি যা আগে থেকেই ডেটাবেজে প্রিপেয়ার করা হয়, এবং পরে তার মধ্যে ইনপুট ডেটা প্যারামিটার হিসেবে বসানো হয়। এটি সাধারণত ডেটাবেজের নিরাপত্তা এবং পারফরম্যান্স উন্নত করতে ব্যবহৃত হয়। MySQLi এবং PDO (PHP Data Objects) উভয়ই Prepared Statements সমর্থন করে, কিন্তু MySQLi তে এটি আরো সহজ এবং কার্যকরী।
Prepared Statements প্রধানত দুইটি কাজের জন্য ব্যবহৃত হয়:
- SQL Injection প্রতিরোধ: Prepared Statements ব্যবহার করে, ব্যবহারকারীর ইনপুট ডেটাকে প্যারামিটার হিসেবে ব্যাখ্যা করা হয়, যার ফলে SQL ইনজেকশন আক্রমণ প্রতিরোধ করা সম্ভব হয়।
- পারফরম্যান্স উন্নতি: কুয়েরি একাধিকবার ব্যবহার করা হলে, ডেটাবেজ সিস্টেমের মধ্যে একবার কেবল কুয়েরিটি প্রিপেয়ার করা হয় এবং পরবর্তীতে তা প্যারামিটার সহ বারবার চালানো যায়, যা পারফরম্যান্সে উন্নতি ঘটায়।
২. Prepared Statements এর সুবিধা
২.১ SQL Injection প্রতিরোধ
SQL ইনজেকশন আক্রমণ তখন ঘটে যখন আক্রমণকারী ব্যবহারকারীর ইনপুট ডেটার মধ্যে ম্যালিশিয়াস SQL কোড ঢুকিয়ে দেয়। Prepared Statements ব্যবহারের মাধ্যমে, আপনি ডেটাকে সঠিকভাবে প্যারামিটারাইজ করে SQL কোড থেকে আলাদা করতে পারেন, যার ফলে SQL ইনজেকশন প্রতিরোধ করা সম্ভব হয়।
২.২ কোডের পুনঃব্যবহারযোগ্যতা
Prepared Statements পুনরায় ব্যবহার করা যায়। একবার একটি কুয়েরি প্রিপেয়ার করা হলে, সেটি বিভিন্ন ইনপুট দিয়ে বারবার চালানো সম্ভব। এর ফলে, কোডের পুনঃব্যবহারযোগ্যতা বাড়ে এবং কর্মক্ষমতা উন্নত হয়।
২.৩ পারফরম্যান্স উন্নতি
প্রতিটি কুয়েরি ডেটাবেজে প্রিপেয়ার হওয়ার পর, পরবর্তী সময়ে তার প্যারামিটার পরিবর্তন করে কেবল এক্সিকিউট করা হয়, ফলে কম সময়ে কুয়েরি চালানো যায়। যখন একই কুয়েরি একাধিকবার চালানো হয়, তখন ডেটাবেজ কেবল প্যারামিটারগুলো গ্রহণ করে এবং কুয়েরি সম্পাদন করে, যা পারফরম্যান্সে বড় ভূমিকা রাখে।
২.৪ এনকোডিং এর সমস্যা কমানো
Prepared Statements ব্যবহার করলে, ইনপুট ডেটাকে সঠিকভাবে এনকোড করা হয়, যার ফলে এনকোডিং সম্পর্কিত সমস্যা যেমন ইনপুটে বিশেষ ক্যারেক্টারের সমস্যা সমাধান হয়।
৩. Prepared Statements ব্যবহার করার প্রক্রিয়া
MySQLi তে Prepared Statements ব্যবহার করার প্রক্রিয়া দুটি প্রধান ধাপে বিভক্ত:
- কুয়েরি প্রিপেয়ার করা: প্রথমে SQL কুয়েরি প্রিপেয়ার করা হয় যেখানে প্যারামিটার (?) ব্যবহার করা হয়।
- প্যারামিটার বাইন্ড করা: তারপর, কুয়েরির প্যারামিটারগুলির সাথে ব্যবহারকারী ইনপুট যুক্ত করা হয়।
৩.১ Procedural Mode দিয়ে Prepared Statements ব্যবহার
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "testdb";
// সংযোগ স্থাপন
$conn = mysqli_connect($servername, $username, $password, $dbname);
// কুয়েরি প্রিপেয়ার করা
$stmt = mysqli_prepare($conn, "INSERT INTO users (name, email) VALUES (?, ?)");
// প্যারামিটার বাইন্ড করা (প্রথম 'ss' মানে দুইটি স্ট্রিং টাইপের প্যারামিটার)
mysqli_stmt_bind_param($stmt, "ss", $name, $email);
// প্যারামিটার গুলি ইনপুট হিসেবে দেওয়া
$name = "John Doe";
$email = "john.doe@example.com";
// কুয়েরি এক্সিকিউট করা
mysqli_stmt_execute($stmt);
// সফল হলে বার্তা প্রদর্শন
echo "New record created successfully";
// স্টেটমেন্ট বন্ধ করা
mysqli_stmt_close($stmt);
// সংযোগ বন্ধ করা
mysqli_close($conn);
৩.২ Object-Oriented Mode দিয়ে Prepared Statements ব্যবহার
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "testdb";
// Object-oriented সংযোগ
$conn = new mysqli($servername, $username, $password, $dbname);
// কুয়েরি প্রিপেয়ার করা
$stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
// প্যারামিটার বাইন্ড করা (প্রথম 'ss' মানে দুইটি স্ট্রিং টাইপের প্যারামিটার)
$stmt->bind_param("ss", $name, $email);
// প্যারামিটার গুলি ইনপুট হিসেবে দেওয়া
$name = "Jane Smith";
$email = "jane.smith@example.com";
// কুয়েরি এক্সিকিউট করা
$stmt->execute();
// সফল হলে বার্তা প্রদর্শন
echo "New record created successfully";
// স্টেটমেন্ট বন্ধ করা
$stmt->close();
// সংযোগ বন্ধ করা
$conn->close();
৪. Prepared Statements এর অন্যান্য উদাহরণ
৪.১ ডেটা রিড (SELECT) করতে Prepared Statements ব্যবহার
$stmt = $conn->prepare("SELECT id, name, email FROM users WHERE id = ?");
$stmt->bind_param("i", $id); // 'i' মানে Integer
$id = 1; // এই ধরনের ডাইনামিক ইনপুট দেয়া হয়
$stmt->execute();
$stmt->store_result();
$stmt->bind_result($id, $name, $email);
// রেজাল্ট প্রিন্ট করা
while ($stmt->fetch()) {
echo "id: $id, Name: $name, Email: $email";
}
$stmt->close();
৪.২ ডেটা আপডেট (UPDATE) করতে Prepared Statements ব্যবহার
$stmt = $conn->prepare("UPDATE users SET email = ? WHERE id = ?");
$stmt->bind_param("si", $email, $id); // 's' মানে String, 'i' মানে Integer
$email = "updatedemail@example.com";
$id = 1;
$stmt->execute();
echo "Record updated successfully";
$stmt->close();
৪.৩ ডেটা ডিলিট (DELETE) করতে Prepared Statements ব্যবহার
$stmt = $conn->prepare("DELETE FROM users WHERE id = ?");
$stmt->bind_param("i", $id);
$id = 2; // ডিলিট করার জন্য আইডি
$stmt->execute();
echo "Record deleted successfully";
$stmt->close();
৫. Prepared Statements এর সুবিধার সারাংশ
- নিরাপত্তা: SQL Injection থেকে রক্ষা পাওয়ার জন্য Prepared Statements একটি কার্যকরী পন্থা।
- পারফরম্যান্স: একই SQL কুয়েরি পুনরায় ব্যবহার করার ফলে ডেটাবেজের উপর চাপ কমে এবং দ্রুত কার্যকরী হয়।
- কোডের পুনঃব্যবহারযোগ্যতা: একাধিক ইনপুট ব্যবহার করে একই কুয়েরি চালানো সহজ।
- এনকোডিং এর সমস্যা সমাধান: ইনপুট ডেটার সঠিক এনকোডিং নিশ্চিত করে।
Prepared Statements হল একটি গুরুত্বপূর্ণ বৈশিষ্ট্য যা MySQLi দিয়ে ব্যবহারকারীর ইনপুট সুরক্ষিতভাবে ডেটাবেজে পাঠাতে সাহায্য করে। এটি SQL Injection আক্রমণ প্রতিরোধে কার্যকরী এবং পারফরম্যান্স উন্নত করতে সাহায্য করে। Prepared Statements ব্যবহারের মাধ্যমে কোডের পুনঃব্যবহারযোগ্যতা এবং নিরাপত্তা নিশ্চিত করা যায়, যা ডেটাবেজ পরিচালনাকে আরও নির্ভরযোগ্য ও কার্যকরী করে তোলে।
Read more
