PDO mit SQLite – sichere Abfragen per Prepared Statement
SQLite ist eine ganze Datenbank in einer Datei – perfekt für kleine Projekte. Mit PDO und Prepared Statements fragst du sie sicher ab, ganz ohne SQL-Injection.
Für kleine Websites und Tools nehme ich gern SQLite: Die ganze Datenbank ist eine einzige Datei, du brauchst keinen Datenbankserver. In PHP sprichst du sie über PDO an – und schreibst dabei jede Abfrage als Prepared Statement, damit Nutzereingaben niemals als SQL interpretiert werden.
Verbindung aufbauen
<?php
$db = new PDO('sqlite:' . __DIR__ . '/data/app.sqlite');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);Mit ERRMODE_EXCEPTION wirft PDO bei Fehlern eine Exception, statt sie stillschweigend zu schlucken – so bemerkst du Probleme sofort.
Sicher abfragen (SELECT)
Der Platzhalter ? wird von PDO getrennt vom SQL übergeben. Deshalb kann darin auch ein ' OR 1=1 -- stecken, ohne Schaden anzurichten.
<?php
$stmt = $db->prepare('SELECT id, title FROM posts WHERE author = ? ORDER BY id DESC');
$stmt->execute([$_GET['author']]);
foreach ($stmt as $row) {
echo htmlspecialchars($row['title']) . "\n";
}Sicher einfügen (INSERT)
<?php
$stmt = $db->prepare('INSERT INTO posts (title, author, created_at) VALUES (?, ?, ?)');
$stmt->execute(['Mein erster Beitrag', 'michael', time()]);
$newId = (int) $db->lastInsertId();Zwei Regeln, die ich immer einhalte: Erstens kommen Werte grundsätzlich als Platzhalter ins Statement, nie per String-Verkettung. Zweitens wird jede Ausgabe mit htmlspecialchars() escaped, bevor sie im HTML landet.
Nach genau diesem Muster ist auch mein eigenes CMS gebaut. Wenn du eine schlanke Website mit eigener kleiner Datenbank brauchst, meld dich über bymw.de.
Quellen
Du brauchst mehr als ein Snippet?
Ich entwickle Android-Apps in Kotlin und moderne Websites für Selbstständige und kleine Unternehmen — von der ersten Idee bis zum Release.
Projekt anfragen →Verwandte Snippets
Dateien sicher zum Download ausliefern in PHP – mit readfile() und den richtigen Headern
Ein Download-Link auf eine private Datei ist schnell gefährlich – Pfad-Tricks führen sonst zu fremden Dateien. So lieferst du Downloads sauber aus: geschützt vor „../", speicherschonend und mit korrektem Dateinamen.
Passwörter sicher speichern mit password_hash()
Niemals Passwörter im Klartext oder mit MD5 speichern. Mit password_hash() und password_verify() macht PHP das Richtige von selbst – inklusive Salt und späterem Rehash.
Claude (Anthropic) aus PHP aufrufen – die Messages-API mit cURL
Ein KI-Feature in deine PHP-Website einbauen, ohne SDK: Die Anthropic Messages-API ist ein einziger HTTP-Endpunkt. Hier der komplette, sichere Aufruf per cURL – mit Key aus der Umgebung, nicht im Code.