Precisei montar uma SQL “na mão” usando o CakePHP pois ela era muito complexa. Mas me bateu a preocupação com o famoso SQL injection. Então me lembrei das minhas aulas de Programação Orientada a Objetos em que o professor falou que em java existia um método de uso de SQL chamado de prepared statement. O qual você monta a SQL colocando ‘?’ onde serão colocados parâmetros que serão passado para a SQL. Mas ele me mostrou como fazer isso em Java, então fui em busca de uma solução parecida em CakePHP e encontrei. Vou postar um exemplo simples que logicamente poderia ser feito usando a abstração de banco do cake:
$query = "SELECT nome FROM pessoa WHERE id = ? AND cpf = ?";
$values = array($this->params['named']['pessoa_id'],$this->params['named']['cpf']);
$this->Pessoa->query($query,$values);
Veja que eu passei dois parâmetros para o método query do model: o meu SQL com duas ‘?’ e um array com dois objetos que irão substituir as duas ‘?’ do SQL. Veja que a ordem de substituição é a natural, ou seja, o primeiro item do array substitui a primeira ‘?’ do SQL e assim sucessivamente.
É recomendado o uso dos prepared statements sempre que tiver que criar consultas com SQL e que precisem de parâmetros.
Tags: CakePHP, PHP, prepared statements, Segurança, SQL, sql injection
Neste post, vamos falar de como pegar o ultimo valor de uma sequência de PostgreSQL. Para entender melhor o que são sequências, veja uma aplicação delas no post Auto-incremento em PostgreSQL.
Uma das grandes aplicações do valor atual de uma sequência é a garantia de um banco relacional. Um registro que seja subdivido em várias entidades de um banco de dados precisa que a chave do registro seja passada com chave estrangeira para os diferentes registros nas diferentes entidades.
Para obter o valor atual de uma sequência(que teoricamente foi usado no ultimo registro, caso seja seguido o artigo citado acima) é usada a funcao currval. Como mostra o código abaixo:
SELECT currval('nome_da_sequencia');
Bem, é isso. Qualquer dúvida deixa como comentário.
Hoje vamos falar de comparação de strings no PostgreSQL. Especificamente sobre a sensibilidade a caixa(maiúsculas e minúsculas), o que um grande empecilho à criação de sistemas de busca.
Este também foi outro grande problema que eu enfrentei. O operador LIKE é case-sensitive(sensivel a maiúsculas e minúsculas).
A solução foi simples e rápida. Existe um operador chamado ILIKE, o qual é case-insensitive.
Exemplo:
SELECT nome FROM empregado WHERE nome ILIKE 'vinicius';
O código acima retorna todos os registros onde o nome seja ‘vinicius’, ‘Vinicius’, ‘ViNiCiUs’, etc.
A sensibilidade à acentuação é um pouco mais complicada então vamos deixar para um próximo post.
Espero ter ajudado.
Neste post falarei a respeito de uma das dificuldades em se usar o gerenciador de banco de dados PostgreSQL. Uma das diferenças mais notáveis aos iniciantes no assunto: a falta da propriedade Auto-increment, a qual é largamente usada na criação de chaves primárias.
Para resolver esta falta, seguem abaixo duas formas de simular a mesma propriedade no PostgreSQL:
Para se criar um campo de uma tabela com valores sequenciais(adequado para chaves) existem duas formas. Uma delas leva a outra.
Vamos comecar pela mais simples, criar a sequencia no momento da criaçao da tabela através do tipo SERIAL:
CREATE TABLE pessoa
(id SERIAL PRIMARY KEY,
nome VARCHAR(100));
A forma acima simula o que eu vou exemplificar abaixo, a criação da sequencia manualmente:
CREATE SEQUENCE pessoa_id_seq;
CREATE TABLE pessoa
(id INTEGER PRIMARY KEY DEFAULT nextval('pessoa_id_seq'),
nome VARCHAR(100));
Atente para a igualdade entre o nome da sequencia e o parametro passado para a função nextval.
Bem, é isso, espero ter ajudado.
