Membuat aplikasi CRUD (Create, Read,
Update, Delete) menggunakan PHP dan MySQL adalah tugas yang umum dalam
pengembangan aplikasi web. Berikut adalah penjelasan teori mengenai pembuatan
aplikasi CRUD dan penggunaan prepared statements untuk menghindari SQL
injection.
1.
Pengertian CRUD (Create, Read, Update, Delete)
CRUD adalah singkatan dari empat
operasi dasar yang sering dilakukan dalam pengelolaan data dalam database:
- Create: Menambahkan data baru ke
dalam database.
- Read: Mengambil dan menampilkan
data yang ada di database.
- Update: Memperbarui data yang sudah
ada dalam database.
- Delete: Menghapus data dari database.
Dalam konteks PHP dan MySQL,
aplikasi CRUD biasanya melibatkan penggunaan formulir HTML untuk menerima input
pengguna, kemudian menggunakan PHP untuk memproses data dan berinteraksi dengan
MySQL sebagai database.
2.
Langkah-langkah untuk Membuat Aplikasi CRUD dengan PHP dan MySQL
a.
Persiapan Database MySQL
Sebelum memulai aplikasi CRUD,
pertama-tama kita perlu menyiapkan database dan tabel yang akan digunakan.
Berikut adalah contoh perintah SQL untuk membuat database dan tabel:
CREATE DATABASE crud_app;
USE crud_app;
CREATE TABLE users (
id INT
AUTO_INCREMENT PRIMARY KEY,
name VARCHAR(100)
NOT NULL,
email VARCHAR(100)
NOT NULL UNIQUE,
age INT
);
b.
Koneksi ke Database
Setelah membuat database dan tabel,
langkah berikutnya adalah membuat koneksi ke database MySQL menggunakan PHP.
Contoh kode untuk melakukan koneksi:
<?php
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "crud_app";
// Create connection
$conn = new mysqli($servername, $username, $password,
$dbname);
// Check connection
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
?>
c.
Create (Menyimpan Data)
Untuk menambahkan data baru, kita
membuat formulir HTML dan memproses input menggunakan PHP untuk menyimpan data
ke dalam database.
Contoh formulir HTML untuk input
data:
<form method="post"
action="create.php">
Name: <input
type="text" name="name">
Email: <input
type="text" name="email">
Age: <input
type="text" name="age">
<input
type="submit" value="Submit">
</form>
Dan pada file create.php,
kita memproses data dan menyimpannya ke dalam database:
<?php
include 'koneksi.php';
// Koneksi ke database
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
$name =
$_POST['name'];
$email =
$_POST['email'];
$age =
$_POST['age'];
$sql =
"INSERT INTO users (name, email, age) VALUES ('$name', '$email',
'$age')";
if
($conn->query($sql) === TRUE) {
echo "New
record created successfully";
} else {
echo
"Error: " . $sql . "<br>" . $conn->error;
}
}
?>
d.
Read (Membaca Data)
Untuk menampilkan data yang ada,
kita dapat menggunakan query SQL untuk mengambil data dari tabel dan menampilkannya
di halaman HTML.
Contoh kode untuk membaca data dari
database dan menampilkannya:
<?php
include 'koneksi.php'; // Koneksi ke database
$sql = "SELECT id, name, email, age FROM users";
$result = $conn->query($sql);
if ($result->num_rows > 0) {
while($row =
$result->fetch_assoc()) {
echo "id:
" . $row["id"]. " - Name: " . $row["name"].
" - Email: " . $row["email"]. " - Age: " .
$row["age"]. "<br>";
}
} else {
echo "0
results";
}
?>
e.
Update (Memperbarui Data)
Untuk memperbarui data yang ada,
kita menggunakan formulir untuk mengambil ID data yang ingin diperbarui dan
memasukkan data baru.
Contoh formulir untuk mengupdate
data:
<form method="post"
action="update.php">
ID: <input
type="text" name="id" value="1">
Name: <input
type="text" name="name" value="John Doe">
Email: <input
type="text" name="email"
value="john@example.com">
Age: <input
type="text" name="age" value="30">
<input
type="submit" value="Update">
</form>
Pada update.php:
<?php
include 'koneksi.php'; // Koneksi ke database
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
$id =
$_POST['id'];
$name =
$_POST['name'];
$email =
$_POST['email'];
$age =
$_POST['age'];
$sql =
"UPDATE users SET name='$name', email='$email', age='$age' WHERE
id=$id";
if
($conn->query($sql) === TRUE) {
echo
"Record updated successfully";
} else {
echo
"Error updating record: " . $conn->error;
}
}
?>
f.
Delete (Menghapus Data)
Untuk menghapus data, kita
menggunakan query SQL dengan ID data yang ingin dihapus.
Contoh kode untuk menghapus data:
<?php
include 'koneksi.php'; // Koneksi ke database
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
$id =
$_POST['id'];
$sql =
"DELETE FROM users WHERE id=$id";
if
($conn->query($sql) === TRUE) {
echo
"Record deleted successfully";
} else {
echo
"Error deleting record: " . $conn->error;
}
}
?>
3.
Penggunaan Prepared Statements untuk Menghindari SQL Injection
SQL injection adalah teknik serangan
di mana seorang penyerang dapat memasukkan kode SQL yang berbahaya melalui
input pengguna. Untuk menghindari serangan ini, kita menggunakan prepared
statements yang memungkinkan kita memisahkan perintah SQL dan data input.
Contoh menggunakan prepared
statements pada operasi Create:
<?php
include 'koneksi.php'; // Koneksi ke database
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
$name =
$_POST['name'];
$email =
$_POST['email'];
$age =
$_POST['age'];
// Prepared
statement untuk menghindari SQL injection
$stmt =
$conn->prepare("INSERT INTO users (name, email, age) VALUES (?, ?,
?)");
$stmt->bind_param("ssi", $name, $email, $age); // 'ssi'
berarti string, string, integer
if
($stmt->execute()) {
echo "New
record created successfully";
} else {
echo
"Error: " . $stmt->error;
}
}
?>
Pada contoh ini, prepare()
digunakan untuk menyiapkan perintah SQL, dan bind_param() digunakan untuk mengikat variabel
input ke dalam perintah SQL dengan tipe data yang sesuai. Ini mencegah input
pengguna dimasukkan langsung ke dalam query SQL, yang menghindari SQL
injection.
Kesimpulan
Membuat aplikasi CRUD dengan PHP dan
MySQL memungkinkan kita untuk melakukan operasi dasar pada data yang ada dalam
database. Dengan mengikuti prinsip-prinsip dasar tersebut dan
mengimplementasikan prepared statements, kita dapat memastikan aplikasi kita
aman dari serangan SQL injection.
Comments
Post a Comment