การใช้งาน PostgreSQL Select จาก Table โดยใช้ Prepared Statement ในภาษา Ruby

การใช้ฐานข้อมูล PostgreSQL ร่วมกับภาษา Ruby เป็นที่นิยมในโลกการพัฒนาโปรแกรม โดยเฉพาะในแอปพลิเคชันที่ต้องการจัดการข้อมูลได้อย่างปลอดภัยและมีประสิทธิภาพ ในบทความนี้ เราจะมาเรียนรู้ถึงการใช้ `SELECT` จาก table ใน PostgreSQL โดยใช้ prepared statement ซึ่งเป็นเทคนิคที่ช่วยเพิ่มความปลอดภัยและลดปัญหาการโจมตีจาก SQL Injection

ทำความรู้จักกับ Prepared Statement

Prepared statement คือ คำสั่ง SQL ที่ถูกเตรียมไว้ล่วงหน้า ทำให้เราสามารถส่งคำสั่ง SQL พร้อมค่า parameters แทนที่จะแทรกค่าลงไปในคำสั่ง SQL ตรงๆ มีข้อดีหลายประการ ได้แก่

การติดตั้งและตั้งค่า

ก่อนที่เราจะเริ่มต้นกัน ต้องตรวจสอบว่าจัดเตรียม environment ที่เหมาะสมแล้ว สถานที่ที่เราใช้กันมากก็คือ Ruby on Rails แต่ว่าเราจะทำตัวอย่างแบบ standalone Ruby script กันเพื่อให้เข้าใจและเห็นภาพง่ายยิ่งขึ้น

 gem install pg

ตัวอย่างการทำงาน

ในตัวอย่างนี้ เราจะสร้างไฟล์ Ruby ที่ทำการเชื่อมต่อกับฐานข้อมูล PostgreSQL และทำการ Select ข้อมูลจากตารางที่เรามีอยู่

เตรียมสร้างฐานข้อมูลและตาราง

ก่อนอื่น เราจะทำการสร้างฐานข้อมูลและตารางสำหรับตัวอย่างของเรา

 CREATE DATABASE example_db;

\c example_db

CREATE TABLE users (
    id SERIAL PRIMARY KEY,
    name VARCHAR(100),
    email VARCHAR(100)
);

INSERT INTO users (name, email) VALUES
('Alice', 'alice@example.com'),
('Bob', 'bob@example.com'),
('Charlie', 'charlie@example.com');

โค้ดในภาษา Ruby

หลังจากที่เราสร้างฐานข้อมูลและตารางเสร็จสิ้นแล้ว มาเริ่มเขียนโค้ดกันเลยดีกว่า

 require 'pg'

# เชื่อมต่อไปยังฐานข้อมูล PostgreSQL
begin
  conn = PG.connect(dbname: 'example_db')

  # เตรียมคำสั่ง SELECT พร้อมพารามิเตอร์
  sql = "SELECT * FROM users WHERE name = $1"
  stmt = conn.prepare('get_user_by_name', sql)

  # รับค่าจากผู้ใช้
  print "Enter user name: "
  user_name = gets.chomp

  # ปฏิบัติการคำสั่ง SELECT ด้วยค่า พารามิเตอร์
  result = conn.exec_prepared('get_user_by_name', [user_name])

  # แสดงผลลัพธ์
  if result.ntuples > 0
    result.each do |user|
      puts "User ID: #{user['id']}, Name: #{user['name']}, Email: #{user['email']}"
    end
  else
    puts "No user found with the name '#{user_name}'"
  end

ensure
  conn.close if conn
end

อธิบายการทำงานของโค้ด

Use Case ในโลกจริง

การใช้ Prepared Statement เป็นวิธีการที่สำคัญในการป้องกันการโจมตีจาก SQL injection โดยเฉพาะในแอปพลิเคชันที่รับข้อมูลจากผู้ใช้ เช่น เว็บแอปพลิเคชันที่ให้ผู้ใช้ส่งข้อมูล เช่น การลงทะเบียนหรือเข้าสู่ระบบ การใช้ Prepared Statement ช่วยให้มั่นใจได้ว่าข้อมูลที่ถูกจัดการจะไม่ถูกโจมตีหรืออ่านโดยไม่ตั้งใจ

ตัวอย่าง Use Case มีหลากหลาย อาทิเช่น:

สรุป

การใช้ PostgreSQL กับภาษา Ruby ผ่าน Prepared Statement เป็นทางเลือกที่ดีในพัฒนาแอปพลิเคชันที่ต้องการความปลอดภัยและประสิทธิภาพ มีการจัดการกับข้อมูลจำนวนมากอย่างถูกต้อง ช่วยให้โค้ดสะอาดและดูแลรักษาได้ง่ายขึ้น

หากคุณสนใจเรียนรู้เพิ่มเติมเกี่ยวกับการเขียนโปรแกรมและการใช้ PostgreSQL โดยเฉพาะใน Ruby อย่าลืมที่จะเข้าไปศึกษาที่ EPT อันเป็นโรงเรียนสอนโปรแกรมที่มีความเชี่ยวชาญด้านนี้ คุณสามารถนำความรู้ไปประยุกต์ใช้ในงานจริงได้อย่างมีประสิทธิภาพ!

หมายเหตุ: ข้อมูลในบทความนี้อาจจะผิด โปรดตรวจสอบความถูกต้องของบทความอีกครั้งหนึ่ง บทความนี้ไม่สามารถนำไปใช้อ้างอิงใด ๆ ได้ ทาง EPT ไม่ขอยืนยันความถูกต้อง และไม่ขอรับผิดชอบต่อความเสียหายใดที่เกิดจากบทความชุดนี้ทั้งทางทรัพย์สิน ร่างกาย หรือจิตใจของผู้อ่านและผู้เกี่ยวข้อง