Dorwałem jakąś ksiązke heliona o programowaniu i zainteresowała mnie biiblioteka PDO tylko mam problem bo niewiem dlaczego takie coś nie zwraca całej tabeli asocjacyjnej tylko jeden jej wpis ? chodzi tu kkonkretnie o funkcje dbRow ale wysyłam nawszelki wypadek całość połączenia.

[PHP] pobierz, plaintext 
function dbInit(){
	if(isset($GLOBALS['db']))return $GLOBALS['db'];
	global $DBVARS;
	$db=new PDO('mysql:host='.$DBVARS['hostname'].';dbname='.$DBVARS['db_name'],$DBVARS['username'],$DBVARS['password']);
	$db->query('SET NAMES utf8');
	$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
	$db->num_queries=0;
	$GLOBALS['db']=$db;
	return $db;
}
function dbQuery($query){
	$db=dbInit();
	$q=$db->query($query);
	$db->num_queries++;
	return $q;
}
function dbRow($query) {
	$q = dbQuery($query);
	return $q->fetch(PDO::FETCH_ASSOC);
}
[PHP] pobierz, plaintext 

pomijając zasadność tego kodu, to fetch zwraca wiersz a fetchAll zwraca wszystkie wyniki.

Co masz na myśli jeśli chodzi o "zasadność" ?

Najważniejsza wada moim zdaniem to tak naprawdę odcinasz się zupełnie od PDO, wykorzystując twój kod nie masz na przykład możliwości skorzystania z prepared statements do tego twój kod jest podatny na sql injection więc w zasadzie nie zyskujesz nic czego byś nie miał używając mysql_*

Cały "Pikuś" polega na tym żeby operować na obiekcie PDO wówczas możesz wykorzystać wszystkie jego właściwości w sposób odpowiedni z czasem wejdzie Ci to w nawyk i pisanie:

[PHP] pobierz, plaintext 
 
$stmt=$db->prepare('SELECT * FROM articlesWHERE id=:id');
$stmt->bindValue(':id',$_GET['id'],PDO::PARAM_INT);
// itd....
 
[PHP] pobierz, plaintext 

nie będzie sprawiało problemów.

Prepared statements to funkcjonalność baz danych a nie PDO.
PDO jedynie udostępnia api do łatwego ich używania.

Prepared statements to nie jedyna zabezpieczenie przed SQL injection i wcale nie musi nim być.
Jeżeli programista umie budować zapytania bez prepared statements to jeszcze lepiej dla niego.

Z dokumentacji:



Więc nie jest to zwykłe API to także możliwość symulowania tej funkcjonalności w bazach bez jej obsługi. Oczywiście że to nie jedyne zabezpieczenie ale nie rozumiem w czym używanie tego miałoby być gorsze ?. Jeżeli już używamy PDO to łatwiej moim zdaniem skorzystać z bindowania parametrów.

PDO nie jest lekarstwem na całe zło i jak udowodniono nawet w postach na forum, można z niego korzystać a i tak mieć podatny na ataki system, można też z niego nie korzystać i mieć system bezpieczny. Jednak moim zdaniem nie ma sensu wracać do funkcji typu mysql_query();

Nie mówię o powrocie do mysql_query, lecz moim zdaniem używanie PS do wszystkich zapytań jest znacznym nadużyciem. Wykorzystanie zwykłych query builderów rozwiązuje całą gamę problemów związanych z SQL injection.

Ale dlaczego ? Czy pdo tak strasznie obciąża serwer czy jak ? Bo nie rozumiem ?

Tu się chłopaki nie sprzeczają o PDO a o bindowanie zmiennych. Oboje są zgodni, że PDO należy używać, ale różnią się w kwestii bidnowania zmiennych. Czytamy ze zrozumieniem

No to korzystać z tego w takiej postaci czy nie ? Bo ja już nic z tego nie rozumiem...

Wszystko zależy jak zbudowałeś zapytanie. W tym kodzie nie widać.