MWCodebymw.de ↗
PHP

PDO mit SQLite – sichere Abfragen per Prepared Statement

SQLite ist eine ganze Datenbank in einer Datei – perfekt für kleine Projekte. Mit PDO und Prepared Statements fragst du sie sicher ab, ganz ohne SQL-Injection.

Für kleine Websites und Tools nehme ich gern SQLite: Die ganze Datenbank ist eine einzige Datei, du brauchst keinen Datenbankserver. In PHP sprichst du sie über PDO an – und schreibst dabei jede Abfrage als Prepared Statement, damit Nutzereingaben niemals als SQL interpretiert werden.

Verbindung aufbauen

<?php
$db = new PDO('sqlite:' . __DIR__ . '/data/app.sqlite');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);

Mit ERRMODE_EXCEPTION wirft PDO bei Fehlern eine Exception, statt sie stillschweigend zu schlucken – so bemerkst du Probleme sofort.

Sicher abfragen (SELECT)

Der Platzhalter ? wird von PDO getrennt vom SQL übergeben. Deshalb kann darin auch ein ' OR 1=1 -- stecken, ohne Schaden anzurichten.

<?php
$stmt = $db->prepare('SELECT id, title FROM posts WHERE author = ? ORDER BY id DESC');
$stmt->execute([$_GET['author']]);

foreach ($stmt as $row) {
    echo htmlspecialchars($row['title']) . "\n";
}

Sicher einfügen (INSERT)

<?php
$stmt = $db->prepare('INSERT INTO posts (title, author, created_at) VALUES (?, ?, ?)');
$stmt->execute(['Mein erster Beitrag', 'michael', time()]);

$newId = (int) $db->lastInsertId();

Zwei Regeln, die ich immer einhalte: Erstens kommen Werte grundsätzlich als Platzhalter ins Statement, nie per String-Verkettung. Zweitens wird jede Ausgabe mit htmlspecialchars() escaped, bevor sie im HTML landet.

Nach genau diesem Muster ist auch mein eigenes CMS gebaut. Wenn du eine schlanke Website mit eigener kleiner Datenbank brauchst, meld dich über bymw.de.

Quellen

#PDO#SQLite#Datenbank#Prepared Statements#Sicherheit

Du brauchst mehr als ein Snippet?

Ich entwickle Android-Apps in Kotlin und moderne Websites für Selbstständige und kleine Unternehmen — von der ersten Idee bis zum Release.

Projekt anfragen →