• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    php 使用预处理语句操作数据库

    什么是预处理语句?

    预处理语句,可以把它看作是想要运行的 SQL 语句的一种编译过的模板,它可以使用变量参数进行控制。预处理语句可以带来两大好处:

    上述内容是摘自官方文档的说明,但其实预处理语句带给我们最直观的好处就是能够有效地预防 SQL 注入。关于 SQL 注入的内容我们将来在学习 MySQL 的时候再进行深入的学习,这里就不过多地介绍了,反正预处理语句就是可以完成这项工作就好了。

    PDO 操作预处理语句

    在 PHP 的扩展中,PDO 已经是主流的核心数据库扩展库,自然它对预处理语句的支持也是非常全面的。

    $pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', '');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    
    // :xxx 占位符
    $stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)");
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':password', $password);
    $stmt->bindParam(':salt', $salt);
    
    $username = 'one';
    $password = '123123';
    $salt = 'aaa';
    $stmt->execute();
    
    $username = 'two';
    $password = '123123';
    $salt = 'bbb';
    $stmt->execute();

    在代码中,我们使用 prepare() 方法定义预处理语句,这个方法会返回一个 PDOStatement 对象。在预处理的语句内使用 :xxx 这样的占位符号,并在外部使用 PDOStatement 对象的 bindParam() 方法为这些占位符绑定上变量。最后通过 execute() 来真正地执行 SQL 语句。

    从这段代码中,我们就可以看到预处理语句的两大优势的体现。首先是占位符,使用占位符之后,我们就不用在 SQL 语句中去写单引号,单引号往往就是 SQL 注入的主要漏洞来源。bindParam() 方法会自动地转换绑定数据的类型。当然,bindParam() 方法也可以在可选的参数中指定绑定的数据类型,这样就能让我们的代码更加安全了,大家可以查阅相关的文档。

    另一个优势就是模板的能力,我们只定义了一个 PDOStatement 对象,然后通过改变数据的内容,就可以多次地使用 execute() 方法去执行预处理语句。

    占位符还有另一种写法,就是使用一个问号来作为占位符号,在这种情况下,bindParam() 方法的键名就要使用数字下标了。这里需要注意的是,数字下标是从 1 开始的。

    // ? 占位符
    $stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)");
    $stmt->bindParam(1, $username);
    $stmt->bindParam(2, $password);
    $stmt->bindParam(3, $salt);
    
    $username = 'three';
    $password = '123123';
    $salt = 'ccc';
    $stmt->execute();

    在我们的查询中,也是可以方便地使用预处理语句的功能进行数据查询的。在这里,我们直接使用 execute() 来为占位符传递参数。

    // 查询获取数据
    $stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");
    
    $stmt->execute(['username'=>'one']);
    
    while($row = $stmt->fetch()){
        print_r($row);
    }

    mysqli 操作预处理语句

    虽说主流是 PDO ,而且大部分框架中使用的也是 PDO ,但我们在写脚本,或者需要快速地测试一些功能的时候,还是会使用 mysqli 来快速地开发。当然,mysqli 也是支持预处理语句相关功能的。

    // mysqli 预处理
    $conn = new mysqli('127.0.0.1', 'root', '', 'blog_test');
    $username = 'one';
    $stmt = $conn->prepare("select username from zyblog_test_user where username = ?");
    $stmt->bind_param("s", $username);
    
    $stmt->execute();
    
    echo $stmt->bind_result($unames);
    
    var_dump($unames);
    
    while ($stmt->fetch()) {
        printf("%s\n", $unames);
    }

    可以看出,mysqli 除了方法名不同之外,绑定参数的键名也不完全的相同,这里我们使用的是问号占位,在 bind_param() 方法中,是使用 s 来表示符号位置,如果是多个参数,就要写成 sss... 这样。

    总结

    预处理语句的能力在现在的框架中都已经帮我们封装好了,其实我们并不需要太关心,就像 Laravel 中使用 DB::select() 进行数据库操作时,我们就可以看到预处理语句的应用。
    大家可以自行查阅 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法。

    测试代码

    以上就是php 使用预处理语句操作数据库的详细内容,更多关于php 预处理语句操作数据库的资料请关注脚本之家其它相关文章!

    您可能感兴趣的文章:
    • PHP PDO预处理语句及事务的使用
    • PHP的PDO预处理语句与存储过程
    • php_pdo 预处理语句详解
    • PHP封装类似thinkphp连贯操作数据库Db类与简单应用示例
    • PHP5中使用mysqli的prepare操作数据库的介绍
    • php pdo操作数据库示例
    • PHP入门教程之使用Mysqli操作数据库的方法(连接,查询,事务回滚等)
    • PHP使用PDO操作数据库的乱码问题解决方法
    • PHP中使用匿名函数操作数据库的例子
    • PHP中的MYSQL常用函数(php下操作数据库必备)
    上一篇:PHP 实现数组分页
    下一篇:详解PHP的Sodium加密扩展函数
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    php 使用预处理语句操作数据库 php,使用,预处理,语句,操作,