php_pdo 预处理语句详解
程序员文章站
2024-04-01 23:27:58
这篇文章主要介绍的是关于php_pdo 预处理语句,下面话不多说,我们来看看详细的内容。
一、预处理语句可以带来两大好处:
1、查询仅需解析(或预处理)一次,但可以用相...
这篇文章主要介绍的是关于php_pdo 预处理语句,下面话不多说,我们来看看详细的内容。
一、预处理语句可以带来两大好处:
1、查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化
执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大
大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因
而运行得更快。
2、提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会
发生sql 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 sql 注入的风险)。
二、预处理实例:
<?php //?号式的预处理语句 一共有3种绑定方式 //1.连接数据库 try{ $pdo = new pdo("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(pdoexception $e){ die("数据库连接失败".$e->getmessage()); } //2.预处理的sql语句 $sql = "insert into stu(id,name,sex,age) values(?,?,?,?)"; $stmt = $pdo->prepare($sql); //3.对?号的参数绑定 //(第一种绑定方式) /* $stmt->bindvalue(1,null); $stmt->bindvalue(2,'test55'); $stmt->bindvalue(3,'w'); $stmt->bindvalue(4,22); */ //第二种绑定方式 /* $stmt->bindparam(1,$id); $stmt->bindparam(2,$name); $stmt->bindparam(3,$sex); $stmt->bindparam(4,$age); $id=null; $name="test66"; $sex="m"; $age=33; */ //第三种绑定方式 //$stmt->execute(array(null,'test77','22',55)); //4.执行 $stmt->execute(array(null,'test77','22',55)); echo $stmt->rowcount();
<?php //别名式号式的预处理语句 一共有3种绑定方式 //1.连接数据库 try{ $pdo = new pdo("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(pdoexception $e){ die("数据库连接失败".$e->getmessage()); } //2.预处理的sql语句 $sql = "insert into stu(id,name,sex,age) values(:id,:name,:sex,:age)"; $stmt = $pdo->prepare($sql); //3.对?号的参数绑定 //(第一种绑定方式) /* $stmt->bindvalue("id",null); $stmt->bindvalue("name",'ceshi1'); $stmt->bindvalue("sex",'w'); $stmt->bindvalue("age",22); */ //第二种绑定方式 /* $stmt->bindparam("id",$id); $stmt->bindparam("name",$name); $stmt->bindparam("sex",$sex); $stmt->bindparam("age",$age); $id=null; $name="ceshi2"; $sex="m"; $age=33; */ //第三种绑定方式 //$stmt->execute(array(null,'test77','22',55)); //4.执行 $stmt->execute(array("id"=>null,"name"=>"ceshi3","sex"=>"w","age"=>66)); echo $stmt->rowcount();
<?php //采用预处理sql执行查询,并采用绑定结果方式输出 //1.连接数据库 try{ $pdo = new pdo("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(pdoexception $e){ die("数据库连接失败".$e->getmessage()); } //2.预处理的sql语句 $sql = "select id,name,sex,age from stu"; $stmt = $pdo->prepare($sql); //3.执行 $stmt->execute(); $stmt->bindcolumn(1,$id); $stmt->bindcolumn(2,$name); $stmt->bindcolumn("sex",$sex); $stmt->bindcolumn("age",$age); while($row=$stmt->fetch(pdo::fetch_column)){ echo "{$id}:{$name}:{$sex}:{$age}<br>"; } /* foreach($stmt as $row){ echo $row['id']."--------".$row['name']."<br>"; } */
最佳方式:
//1.连接数据库 try{ $pdo = new pdo("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(pdoexception $e){ die("数据库连接失败".$e->getmessage()); } //2.预处理的sql语句 $sql = 'select catid,catname,catdir from cy_category where parentid = :parentid'; $stmt = $pdo->prepare($sql); $params = array( 'parentid' => $subcatid ); $stmt->execute($params); //$row = $stm->fetchall(pdo::fetch_assoc); while($row=$stmt->fetch(pdo::fetch_assoc)){ var_dump($row); echo "<br>"; }
预处理批量操作实例:
<?php //用预处理语句进行重复插入 //下面例子通过用 name 和 value 替代相应的命名占位符来执行一个插入查询 $stmt = $dbh->prepare("insert into registry (name, value) values (:name, :value)"); $stmt->bindparam(':name', $name); $stmt->bindparam(':value', $value); // 插入一行 $name = 'one'; $value = 1; $stmt->execute(); // 用不同的值插入另一行 $name = 'two'; $value = 2; $stmt->execute(); //用预处理语句进行重复插入 //下面例子通过用 name 和 value 取代 ? 占位符的位置来执行一条插入查询。 $stmt = $dbh->prepare("insert into registry (name, value) values (?, ?)"); $stmt->bindparam(1, $name); $stmt->bindparam(2, $value); // 插入一行 $name = 'one'; $value = 1; $stmt->execute(); // 用不同的值插入另一行 $name = 'two'; $value = 2; $stmt->execute(); //使用预处理语句获取数据 //下面例子获取数据基于键值已提供的形式。用户的输入被自动用引号括起来,因此不会有 sql 注入攻击的危险。 $stmt = $dbh->prepare("select * from registry where name = ?"); if ($stmt->execute(array($_get['name']))) { while ($row = $stmt->fetch()) { print_r($row); } } ?>
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家学习或者使用php能有所帮助,如果有疑问大家可以留言交流。