امنیت ورودی‌ها همیشه نقطه‌ضعف اپلیکیشن‌هاست. استفاده از prepared statements در PDO یک راهکار ساده و مؤثر برای جلوگیری از SQL Injection است.

ایدهٔ اصلی (مختصر)
با آماده‌سازی کوئری و جدا کردن داده‌ها از ساختار SQL، هر ورودی به‌عنوان داده تفسیر می‌شود نه دستور SQL. در نتیجه حتی ورودی‌های مخرب اجرا نخواهند شد.

مثال شفاف
در این مثال یک اتصال PDO امن و نمونهٔ استفاده از پارامترهای نام‌دار را می‌بینید. دقت کنید که PDO::ERRMODE_EXCEPTION روشن است تا خطاها واضح باشند.

<?php
$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8mb4', 'user', 'pass');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// INSERT امن با پارامتر نام‌دار
$stmt = $pdo->prepare('INSERT INTO users (email, name) VALUES (:email, :name)');
$stmt->execute([':email' => $email, ':name' => $name]);

// استفادهٔ مجدد برای SELECT
$select = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$select->execute([':email' => $email]);
$user = $select->fetch(PDO::FETCH_ASSOC);
?>

نکات عملی و خطاهای رایج
- هرگز ورودی‌ها را با string concatenation داخل کوئری قرار ندهید.
- از bindValue یا آرایهٔ execute برای ارسال پارامترها استفاده کنید.
- نوع داده را در صورت نیاز explicit کنید (مثلاً PDO::PARAM_INT).
- اتصال با charset=utf8mb4 و ERRMODE_EXCEPTION را فراموش نکنید.

اگر تجربه‌ای در مهاجرت از mysql_* یا mysqli به PDO دارید یا سوالی هست، خوشحال می‌شم بشنوم و بحث کنیم.

منبع: مستندات رسمی PHP — PDO Prepared Statements

🔖 #PHP #پی_اچ_پی #php #pdo #security #sql_injection #prepared_statements

👤 Developix

💎 Channel: @DevelopixPHP

Guzzle — کلاینت HTTP برای PHP

Guzzle یک کتابخانهٔ معتبر و فعال برای ارسال درخواست‌های HTTP در PHP است. به‌سادگی با APIهای REST، سرویس‌های خارجی و میکروسرویس‌ها کار می‌کند و مدیریت زمان‌انتظار، خطاها و درخواست‌های همزمان را آسان می‌کند. 🚀

ویژگی‌ها و مزایا:
- ✅ پشتیبانی sync و async (Promise)
- ✅ Middleware و مدیریت هدر/کوکی
- ✅ Pool برای درخواست‌های همزمان و بهینه‌سازی کارایی
- ✅ قابلیت تنظیم timeout، retries و stream برای دانلود فایل

نمونه نصب و استفاده:

<?php
// نصب: composer require guzzlehttp/guzzle
require 'vendor/autoload.php';
use GuzzleHttp\Client;
$client = new Client(['base_uri' => 'https://api.github.com/']);
$res = $client->request('GET', 'users/guzzle');
echo $res->getStatusCode();
echo $res->getBody();

موارد کاربرد: فراخوانی APIهای خارجی، ارتباط بین سرویس‌ها، تست و نمونه‌سازی سریع کلاینت HTTP. نکته: از timeout و retries مناسب استفاده کنید تا برنامه پایدار بماند. 🔧

مستندات رسمی: docs.guzzlephp.org
کد منبع: github.com/guzzle/guzzle

تجربه‌تان را با Guzzle امتحان کنید و بازخورد خود را به اشتراک بگذارید. ✨

🔖 #PHP #پی_اچ_پی #Guzzle #HTTP #API #PHP

👤 Developix

💎 Channel: @DevelopixPHP

👨‍💻 سوال PHP برای توسعه‌دهندگان

خروجی اجرای کد زیر در PHP 8 چه خواهد بود؟

به تفاوت بین reference و مقدار کپی‌شده، و همین‌طور رفتار تابع با آرگومان‌ها دقت کنید.

🔖 #PHP #پی_اچ_پی

👤 Developix

💎 Channel: @DevelopixPHP

عملگر پایپ (Pipe Operator) در PHP

عملگر پایپ ( |> ) از PHP 8.5 با هدف ساده‌سازی جریان داده و افزایش خوانایی کد اضافه شده است. این عملگر امکان می‌دهد خروجی یک عبارت به‌عنوان ورودی تابع بعدی استفاده شود؛ بدون آنکه نیاز به تو در تو کردن فراخوانی‌ها یا استفاده از متغیرهای موقتی باشد.

ساختار کلی عملگر پایپ:

$value |> callable;

در این ساختار:
- مقدار سمت چپ (value) محاسبه شده و سپس به تابع سمت راست (callable) ارسال می‌شود، و نتیجهٔ آن تابع، خروجی نهایی عبارت خواهد بود.

- تابع سمت راست باید فقط یک پارامتر لازم داشته باشد؛ زیرا همان یک پارامتر از پایپ دریافت می‌شود.

- نماد ( ... ) پس از نام تابع، بیانگر این است که پارامتر آن تابع از طریق عملگر پایپ وارد می‌شود.

چند مثال:
پیش از اضافه شدن پایپ تواع پشت سر هم نوشته می‌شد:

$result = strtolower(trim($noscript));

یا از متغیرهای موقتی استفاده می‌شد:

$trim = trim($noscript);
$result = strtolower($trim);

اما با استفاده از پایپ می توان ساختار تمیزتر و قابل فهم‌تری را داشته باشیم:

$result = $noscript
  |> trim(...)
  |> strtolower(...);

ترتیب اجرای عملیات کاملا روشن و خوانا است:
ابتدا trim، سپس strtolower.

ترکیب توابع استاندارد با Closure

$slug = $noscript
  |> trim(...)
  |> (fn($s) => str_replace(' ', '-', $s))
  |> strtolower(...);

از آنجایی که گفته شد توابع تنها یک متد داشته باشند، برای توابع با چند متد می‌توان از کلوژرها استفاده کرد.
در این مثال str_replace نیاز به پارامترهای بیشتری است به همین دلیل از arrow-function استفاده شده.

عملیات روی آرایه

$clean = $items
 |> (fn(array $arr) => array_map(fn($x) => trim($x), $arr))
 |> (fn(array $arr) => array_filter($arr, fn($x) => $x !== ''))
 |> array_values(...);

چنین زنجیره‌ای بدون استفاده از پایپ، به‌طور معمول شامل متغیرهای واسطه یا تو در تویی توابع خواهد بود؛ اما با استفاده از پایپ، تمامی مراحل به صورت خوانا پشت سر هم نوشته شده‌اند.

مزایای استفاده از عملگر پایپ:
- جریان داده از بالا به پایین قابل مشاهده است و عملیات به شکلی خطی بیان می‌شوند.

- به‌جای اینکه توابع داخل یکدیگر قرار بگیرند، هر تابع به‌طور مستقل در یک مرحله اجرا می‌شود.

- نیازی به ایجاد متغیر برای ذخیرهٔ نتیجهٔ هر مرحله نیست.

محدودیت‌ها و نکات مهم:
- توابعی که بیش از یک پارامتر ضروری دارند، مستقیماً با پایپ قابل استفاده نیستند.

"hello world" |> explode(' ', ...); // ERROR

"hello world" |> (fn($v) => explode(' ', $v)); // correct

- توابعی که پارامترشان با ارجاع (By Reference) دریافت می‌شود قابل استفاده نیستند (مانند array_pop یا sort)

- اگر تابعی مقدار بازگشتی نداشته باشد (void)، نتیجهٔ عملیات null خواهد بود و استفادهٔ آن در میانهٔ زنجیره صحیح نیست.


به طور کلی عملگر پایپ در PHP 8.5 امکان نگارش کدی خواناتر، مرحله‌ای و ساخت‌یافته را فراهم می‌کند.
این عملگر با ارسال خروجی هر مرحله به مرحلهٔ بعد، جریان داده را ساده‌سازی می‌کند و برای پردازش رشته‌ها، آرایه‌ها و داده‌های میان‌مرحله‌ای بسیار مناسب است.
در مقابل، محدودیت‌هایی نظیر نیاز به تک‌پارامتری بودن تابع یا عدم پشتیبانی از توابع دارای ارجاع وجود دارد که باید در استفادهٔ روزمره مورد توجه قرار گیرد.

🔖 #PHP #پی_اچ_پی

👤 AmirHossein

💎 Channel: @DevelopixPHP

👨‍💻 سوال برای توسعه‌دهندگان PHP:

خروجی اجرای این کد در PHP 8 چیست؟

به تفاوت بین مقایسه شل (loose) و مقایسه صریح (strict)، همین‌طور رفتار آرایه‌ها در مقایسه توجه کنید.

<?php

$values = [
    "0",      // string
    0,        // int
    false,    // bool
    "",      // empty string
    [],       // empty array
    [0],      // array with one element
];

$result = [];

foreach ($values as $i => $a) {
    foreach ($values as $j => $b) {
        if ($a == $b) {
            $result[] = "$i==$j";
        }
    }
}

var_dump($result);

خروجی دقیق این کد (همان چیزی که var_dump چاپ می‌کند) چیست؟

🔖 #PHP #پی_اچ_پی

👤 Developix

💎 Channel: @DevelopixPHP

📌 ساخت یک REST API سبک با PHP خالص

خیلی وقت‌ها برای یک فرم ساده، اپ موبایل کوچک یا integration داخلی، لازم نیست کل Laravel را بالا بیاریم. یک API سبک با PHP خالص می‌تونه هم سریع باشه، هم قابل دیپلوی روی هر هاستی.

در این پست، یه نمونه خیلی عملی می‌بینیم که شبیه مثال‌های سرور داخلی PHP در مستندات رسمی کار می‌کنه؛ فقط کمی مرتب‌تر و مدرن‌تر 👇

💡 ایده اصلی

– استفاده از PHP 8+ با type hint و strict_types.
– هندل‌کردن GET /tasks و POST /tasks برای یک TODO ساده.
– استفاده از json_encode / json_decode با application/json.
– جداسازی لاجیک در یک کلاس کوچک (بدون شلوغ‌کاری).

🔧 ساختار پیشنهادی

– یک فایل public/index.php
– یک کلاس ساده برای مدیریت داده‌ها (فعلاً in-memory، بعداً راحت می‌شه به DB وصل کرد)

<?php

declare(strict_types=1);

// public/index.php

header('Content-Type: application/json; charset=utf-8');

$method = $_SERVER['REQUEST_METHOD'] ?? 'GET';
$uri    = strtok($_SERVER['REQUEST_URI'] ?? '/', '?');

class TaskStore
{
    private array $tasks = [];

    public function all(): array
    {
        return array_values($this->tasks);
    }

    public function add(string $noscript): array
    {
        $id = uniqid('task_', true);
        $task = [
            'id'    => $id,
            'noscript' => $noscript,
        ];
        $this->tasks[$id] = $task;
        return $task;
    }
}

$store = new TaskStore();

if ($uri === '/tasks' && $method === 'GET') {
    echo json_encode($store->all(), JSON_UNESCAPED_UNICODE);
    exit;
}

if ($uri === '/tasks' && $method === 'POST') {
    $input = json_decode(file_get_contents('php://input'), true) ?? [];

    if (!isset($input['noscript']) || !is_string($input['noscript'])) {
        http_response_code(422);
        echo json_encode(['error' => 'noscript is required']);
        exit;
    }

    $task = $store->add(trim($input['noscript']));

    http_response_code(201);
    echo json_encode($task, JSON_UNESCAPED_UNICODE);
    exit;
}

http_response_code(404);
echo json_encode(['error' => 'Not Found']);

🚀 اجرا روی لوکال

با سرور داخلی PHP (مطابق داکیومنت رسمی):

php -S localhost:8000 -t public

حالا:
– با curl یا Postman روی /tasks تست کن.
– بعداً خیلی راحت می‌شه این ساختار رو به یک لایه Repository و اتصال به MySQL یا PostgreSQL گسترش داد.

🔥 چند نکته کاربردی

– همیشه Content-Type درست برای JSON ست کن تا client ها راحت‌تر parse کنن.
– برای پروژه واقعی، لاگ‌گرفتن و error handling مرکزی (مثلاً با یک middleware ساده) خیلی کمک می‌کنه.
– اگر این سبک رو دوست داشتی، نگاه‌کردن به سورس micro-frameworkهایی مثل Slim PHP ایده‌های خوبی برای routing و middleware می‌ده.

امروز همین نمونه کوچک رو روی سیستم خودت بالا بیار، کمی باهاش بازی کن و بعد شروع کن به اضافه‌کردن featureهای کوچیک 😉

🔖 #PHP #پی_اچ_پی #PHP #REST_API #Backend #Web #Tutorial

👤 Developix

💎 Channel: @DevelopixPHP

👨‍💻 پرسش برای توسعه‌دهندگان PHP

در کد زیر از ویژگی late static binding در PHP، همراه با traits و overriding متد، استفاده شده است.

با دقت کد را بررسی کنید و بگویید خروجی نهایی اجرای این اسکریپت دقیقا چه خواهد بود؟ (تمام خطوط خروجی به ترتیب)

برای خوانایی بیشتر، می‌توانید روی بخش code (در تصویر بالا) زوم کنید و به تفاوت بین self و static در این مثال توجه کنید.

🔖 #PHP #پی_اچ_پی

👤 Developix

💎 Channel: @DevelopixPHP

یکی از ساده‌ترین و مهم‌ترین کارها برای امن‌کردن اپ‌های PHP اینه که مستقیم متغیرها رو نچسبونیم به Query و به‌جاش از Prepared Statement با PDO استفاده کنیم. با این کار جلوی خیلی از SQL Injectionها گرفته می‌شه 🚫💉

فرض کنیم یه فرم لاگین ساده داریم. این روش 👇 ناامن و مستعد SQL Injection هست:

$pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'pass');

$username = $_POST['username'];
$password = $_POST['password'];

// ❌ ناامن
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$stmt = $pdo->query($sql);
$user = $stmt->fetch();

راه درست، استفاده از placeholder و bind کردن مقادیر هست. این‌طوری PDO خودش مقادیر رو escape می‌کنه و به‌عنوان دیتا با دیتابیس حرف می‌زنه، نه کد 👇

$pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'pass', [
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
]);

$username = $_POST['username'];
$password = $_POST['password'];

// ✅ امن با prepared statement
$sql = "SELECT * FROM users WHERE username = :username AND password = :password";
$stmt = $pdo->prepare($sql);
$stmt->execute([
    ':username' => $username,
    ':password' => $password,
]);

$user = $stmt->fetch(PDO::FETCH_ASSOC);

نکات مهم 🤝

• همیشه ERRMODE_EXCEPTION رو فعال کن تا خطاها رو از دست ندی.
• از named placeholder (مثل :username) استفاده کن تا کدت خواناتر بشه.
• حتی برای مقدارهای عددی هم از prepared statement استفاده کن؛ به شرط «عددی بودن» دیتا برای Logic خودت اعتماد نکن.

این الگو رو توی همه Queryهایی که ورودی کاربر توشون استفاده می‌شه پیاده کن؛ لاگین، سرچ، فیلتر، پنل ادمین و… ✅

مستندات رسمی PDO و prepared statement:
https://www.php.net/manual/en/book.pdo.php

امروز توی یکی از بخش‌های پروژه‌ات این الگو رو جایگزین روش قدیمی کن و تفاوت تمیزی و امنیت کد رو ببین 😎

🔖 #PHP #پی_اچ_پی #PHP #PDO #Security #SQL_Injection #Best_Practices

👤 Developix

💎 Channel: @DevelopixPHP