欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

pdo中使用参数化查询sql

程序员文章站 2022-09-24 19:11:08
方法 bindparam() 和 bindvalue() 非常相似。 唯一的区别就是前者使用一个php变量绑定参数,而后者使用一个值。 所以使用bindparam是第二个参...
方法 bindparam() 和 bindvalue() 非常相似。
唯一的区别就是前者使用一个php变量绑定参数,而后者使用一个值。
所以使用bindparam是第二个参数只能用变量名,而不能用变量值,而bindvalue至可以使用具体值。
复制代码 代码如下:

$stm = $pdo->prepare("select * from users where user = :user");
$user = "jack";
//正确
$stm->bindparam(":user",$user);
//错误
//$stm->bindparam(":user","jack");
//正确
$stm->bindvalue(":user",$user);
//正确
$stm->bindvalue(":user","jack");

另外在存储过程中,bindparam可以绑定为input/output变量,如下面:
复制代码 代码如下:

$stm = $pdo->prepare("call func(:param1)");
$param1 = "abcd";
$stm->bindparam(":param1",$param1); //正确
$stm->execute();

存储过程执行过后的结果可以直接反应到变量上。
对于那些内存中的大数据块参数,处于性能的考虑,应优先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%e5%8f%83%e6%95%b8%e5%8c%96%e6%9f%a5%e8%a9%a2
参数化查询
参数化查询(parameterized query 或 parameterized statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (parameter) 来给值,这个方法目前已被视为最有效可预防sql注入攻击 (sql injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便[来源请求],然而,使用参数化查询造成的额外开发成本,通常都远低于因为sql注入攻击漏洞被发现而遭受攻击,所造成的重大损失。
除了安全因素,相比起拼接字符串的 sql 语句,参数化的查询往往有性能优势。因为参数化的查询能让不同的数据通过参数到达数据库,从而公用同一条 sql 语句。大多数数据库会缓存解释 sql 语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的 sql 语句,则会由于操作数据是 sql 语句的一部分而非参数的一部分,而反复大量解释 sql 语句产生不必要的开销。
目录
* 1 原理
* 2 sql 指令撰写方法
o 2.1 microsoft sql server
o 2.2 microsoft access
o 2.3 mysql
o 2.4 postgresql/sqlite
* 3 客户端程序撰写方法
o 3.1 ado.net
o 3.2 pdo
o 3.3 jdbc
o 3.4 cold fusion
[编辑] 原理
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为sql指令的一部份来处理,而是在数据库完成 sql 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。
[编辑] sql 指令撰写方法
在撰写 sql 指令时,利用参数来代表需要填入的数值,例如:
[编辑] microsoft sql server
microsoft sql server 的参数格式是以 "@" 字符加上参数名称而成,sql server 亦支持匿名参数 "?"。
select * from mytable where myid = @myid
insert into mytable (c1, c2, c3, c4) values (@c1, @c2, @c3, @c4)
[编辑] microsoft access
microsoft access 不支持具名参数,只支持匿名参数 "?"。
update mytable set c1 = ?, c2 = ?, c3 = ? where c4 = ?
[编辑] mysql
mysql 的参数格式是以 "?" 字符加上参数名称而成。
update mytable set c1 = ?c1, c2 = ?c2, c3 = ?c3 where c4 = ?c4
[编辑] postgresql/sqlite
postgresql 和 sqlite 的参数格式是以 “:” 加上参数名而成。当然,也支持类似 access 的匿名参数。
update "mytable" set "c1" = :c1, "c2" = :c2, "c3" = :c3 where "c4" = :c4
[编辑] 客户端程序撰写方法
在客户端代码中撰写使用参数的代码,例如:
[编辑] ado.net
ado.net用于asp.net之内。
sqlcommand sqlcmd = new sqlcommand("insert into mytable (c1, c2, c3, c4) values (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.parameters.addwithvalue("@c1", 1); // 設定參數 @c1 的值。
sqlcmd.parameters.addwithvalue("@c2", 2); // 設定參數 @c2 的值。
sqlcmd.parameters.addwithvalue("@c3", 3); // 設定參數 @c3 的值。
sqlcmd.parameters.addwithvalue("@c4", 4); // 設定參數 @c4 的值。
sqlconn.open();
sqlcmd.executenonquery();
sqlconn.close();
[编辑] pdo
pdo用于php之内。 在使用 pdo 驱动时,参数查询的使用方法一般为:
复制代码 代码如下:

// 实例化数据抽象层对象
$db = new pdo('pgsql:host=127.0.0.1;port=5432;dbname=testdb');
// 对 sql 语句执行 prepare,得到 pdostatement 对象
$stmt = $db->prepare('select * from "mytable" where "id" = :id and "is_valid" = :is_valid');
// 绑定参数
$stmt->bindvalue(':id', $id);
$stmt->bindvalue(':is_valid', true);
// 查询
$stmt->execute();
// 获取数据
foreach($stmt as $row) {
var_dump($row);
}
[code]
对于 mysql 的特定驱动,也可以这样使用:
$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("select priv from testusers where username=? and password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();
值得注意的是,以下方式虽然能有效防止 sql注入 (归功于 mysql_real_escape_string 函数的转义),但并不是真正的参数化查询。其本质仍然是拼接字符串的 sql 语句。
[code]
$query = sprintf("select * from users where username='%s' and password='%s'",
mysql_real_escape_string($username),
mysql_real_escape_string($password));
mysql_query($query);

[编辑] jdbc
jdbc用于java之内。
java.sql.preparedstatement prep = connection.preparestatement(
"select * from `users` where username = ? and password = ?");
prep.setstring(1, username);
prep.setstring(2, password);
prep.executequery();
[编辑] cold fusion
<cfquery name="recordset1" datasource="cafetownsend">
select *
from comments
where comment_id =<cfqueryparam value="#url.comment_id#" cfsqltype="cf_sql_numeric">
</cfquery>