PDO mit SQLite – sichere Abfragen per Prepared Statement
SQLite ist eine ganze Datenbank in einer Datei – perfekt für kleine Projekte. Mit PDO und Prepared Statements fragst du sie sicher ab, ganz ohne SQL-Injection.
Für kleine Websites und Tools nehme ich gern SQLite: Die ganze Datenbank ist eine einzige Datei, du brauchst keinen Datenbankserver. In PHP sprichst du sie über PDO an – und schreibst dabei jede Abfrage als Prepared Statement, damit Nutzereingaben niemals als SQL interpretiert werden.
Verbindung aufbauen
<?php
$db = new PDO('sqlite:' . __DIR__ . '/data/app.sqlite');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);Mit ERRMODE_EXCEPTION wirft PDO bei Fehlern eine Exception, statt sie stillschweigend zu schlucken – so bemerkst du Probleme sofort.
Sicher abfragen (SELECT)
Der Platzhalter ? wird von PDO getrennt vom SQL übergeben. Deshalb kann darin auch ein ' OR 1=1 -- stecken, ohne Schaden anzurichten.
<?php
$stmt = $db->prepare('SELECT id, title FROM posts WHERE author = ? ORDER BY id DESC');
$stmt->execute([$_GET['author']]);
foreach ($stmt as $row) {
echo htmlspecialchars($row['title']) . "\n";
}Sicher einfügen (INSERT)
<?php
$stmt = $db->prepare('INSERT INTO posts (title, author, created_at) VALUES (?, ?, ?)');
$stmt->execute(['Mein erster Beitrag', 'michael', time()]);
$newId = (int) $db->lastInsertId();Zwei Regeln, die ich immer einhalte: Erstens kommen Werte grundsätzlich als Platzhalter ins Statement, nie per String-Verkettung. Zweitens wird jede Ausgabe mit htmlspecialchars() escaped, bevor sie im HTML landet.
Nach genau diesem Muster ist auch mein eigenes CMS gebaut. Wenn du eine schlanke Website mit eigener kleiner Datenbank brauchst, meld dich über bymw.de.
Quellen
Du brauchst mehr als ein Snippet?
Ich entwickle Android-Apps in Kotlin und moderne Websites für Selbstständige und kleine Unternehmen — von der ersten Idee bis zum Release.
Projekt anfragen →Verwandte Rezepte
Passwörter sicher speichern mit password_hash()
Niemals Passwörter im Klartext oder mit MD5 speichern. Mit password_hash() und password_verify() macht PHP das Richtige von selbst – inklusive Salt und späterem Rehash.
Upsert in SQLite mit ON CONFLICT DO UPDATE
Einfügen oder aktualisieren in einem einzigen Statement – mit ON CONFLICT ... DO UPDATE. Kein vorheriges SELECT, kein Race Condition zwischen Prüfen und Schreiben.
Robustes Bash-Grundgerüst mit set -euo pipefail
Ein Shell-Skript, das bei Fehlern einfach weiterläuft, ist gefährlich. Mit set -euo pipefail und einem sauberen Grundgerüst bricht dein Skript beim ersten Problem sicher ab.