Ein Prepared Statement (auch vorbereitetes Statement genannt) ist eine Technik in der Programmierung, insbesondere bei der Arbeit mit Datenbanken, um SQL-Abfragen sicherer und effizienter auszuführen.

1. Was passiert bei einem Prepared Statement?

Ein Prepared Statement besteht aus zwei Schritten:

1. Vorbereitung der SQL-Abfrage mit Platzhaltern
   Beispiel in SQL:

SELECT * FROM users WHERE username = ? AND password = ?

• (In manchen Sprachen nutzt man auch :username oder andere Platzhalter)

• Bindung der Parameter und Ausführung
  Die echten Werte werden später „gebunden“, z. B.:

$stmt->bind_param("ss", $username, $password);
$stmt->execute();

2. Vorteile

✅ Sicherer vor SQL-Injection:
Benutzereingaben werden nicht direkt in die SQL eingebaut, sondern separat behandelt.

✅ Schneller bei Wiederholungen:
Die SQL-Abfrage wird vom Datenbankserver einmal geparst und kann mehrfach effizient ausgeführt werden (z. B. bei Schleifen).

$conn = new mysqli("localhost", "user", "pass", "database");
$stmt = $conn->prepare("SELECT * FROM users WHERE email = ?");
$stmt->bind_param("s", $email); // "s" für string
$email = "beispiel@example.com";
$stmt->execute();
$result = $stmt->get_result();

Kurz gesagt:

Ein Prepared Statement trennt SQL-Logik von Benutzereingaben und schützt so vor Sicherheitslücken wie SQL-Injection. Es ist eine Best Practice beim Umgang mit Datenbanken.

SonarQube ist ein Open-Source-Tool zur kontinuierlichen Analyse und Qualitätssicherung von Quellcode. Es hilft Entwicklern und Teams, die Codequalität zu bewerten, Schwachstellen zu identifizieren und Best Practices in der Softwareentwicklung zu fördern.

Hauptfunktionen:

1. Codequalität prüfen:

   • SonarQube analysiert Quellcode und bewertet Aspekte wie Lesbarkeit, Wartbarkeit und Architekturqualität.
   • Es erkennt potenzielle Probleme wie Code-Duplikate, nicht genutzte Variablen oder komplexe Methoden.

2. Sicherheitslücken aufdecken:

   • Es hilft, Sicherheitslücken (z. B. SQL-Injection, Cross-Site-Scripting) und Schwachstellen zu finden.
   • Unterstützt die Einhaltung von Sicherheitsstandards wie OWASP Top 10.

3. Technische Schulden bewerten:

   • Technische Schulden sind die Aufwände, die nötig wären, um den Code auf einen optimalen Zustand zu bringen.
   • SonarQube visualisiert diese Schulden, um Priorisierungen zu erleichtern.

4. Unterstützung für viele Programmiersprachen:

   • Es unterstützt mehr als 20 Sprachen, darunter Java, Python, JavaScript, C#, C++, PHP und viele mehr.

5. Integration in CI/CD-Pipelines:

   • SonarQube lässt sich leicht in Tools wie Jenkins, GitLab CI/CD oder Azure DevOps integrieren.
   • Dadurch kann Code bei jedem Commit oder vor einem Release geprüft werden.

6. Berichte und Dashboards:

   • Es bietet übersichtliche Dashboards mit Metriken, Trends und Detailanalysen.
   • Entwickler können leicht erkennen, wo Verbesserungen nötig sind.

Einsatzbereiche:

• Unternehmen: Zur Sicherstellung der Codequalität und Einhaltung von Sicherheitsstandards in großen Softwareprojekten.
• Teams: Für eine kontinuierliche Verbesserung des Codes und zur Förderung guter Entwicklungspraktiken.
• Einzelentwickler: Als Lernwerkzeug, um besseren Code zu schreiben.

SonarQube ist in einer kostenlosen Community-Edition und in kommerziellen Versionen mit erweiterten Funktionen verfügbar (z. B. für größere Teams oder spezielle Sicherheitsanalysen).

Exakat ist ein statisches Analyse-Tool für PHP, das speziell entwickelt wurde, um die Codequalität zu verbessern und Best Practices in PHP-Projekten sicherzustellen. Ähnlich wie Psalm konzentriert es sich auf die Analyse von PHP-Code, bietet jedoch einige einzigartige Funktionen und Analysen, um Entwicklern zu helfen, Fehler zu erkennen und ihre Anwendungen effizienter und sicherer zu machen.

Hier sind einige der Hauptfunktionen von Exakat:

1. Code-Qualität und Best Practices: Exakat analysiert den Code basierend auf empfohlenen PHP-Best-Practices und stellt sicher, dass er den aktuellen Standards entspricht.
2. Sicherheitsanalyse: Das Tool identifiziert potenzielle Sicherheitslücken im Code, wie SQL-Injections, Cross-Site-Scripting (XSS) oder andere Schwachstellen.
3. Kompatibilitätsprüfungen: Exakat überprüft, ob der PHP-Code mit verschiedenen PHP-Versionen kompatibel ist. Das ist besonders nützlich, wenn eine Anwendung auf eine neue PHP-Version aktualisiert wird.
4. Erkennung von totem Code: Es identifiziert ungenutzte Variablen, Methoden oder Klassen, die entfernt werden können, um den Code sauberer und leichter wartbar zu machen.
5. Dokumentationsanalyse: Es überprüft, ob der Code gut dokumentiert ist und ob die vorhandene Dokumentation mit dem tatsächlichen Code übereinstimmt.
6. Berichterstattung: Exakat erstellt detaillierte Berichte über den Zustand des Codes, einschließlich Metriken zur Codequalität, Sicherheitslücken und potenziellen Verbesserungen.

Exakat kann als eigenständiges Tool oder in eine Continuous Integration (CI)-Pipeline integriert werden, um sicherzustellen, dass Code kontinuierlich auf Qualität und Sicherheit überprüft wird. Es ist ein vielseitiges Werkzeug für PHP-Entwickler, die ihren Code verbessern und auf einem hohen Standard halten möchten.