$pdo=newPDO('mysql:host=localhost;port=3306;dbname=blog_test','root','');$pdo->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);//:xxx占位符$stmt=$pdo->prepare("insertintozyblog_test_user(username,password,salt)values(:username,:password,:salt)");$stmt->bindParam(':username',$username);$stmt->bindParam(':password',$password);$stmt->bindParam(':salt',$salt);$username='one';$password='123123';$salt='aaa';$stmt->execute();$username='two';$password='123123';$salt='bbb';$stmt->execute();
在代码中,我们利用 prepare() 方法定义预处理语句,这个方法会返回一个 PDOStatement 工具。在预处理的语句内利用 :xxx 这样的占位符号,并在外部利用 PDOStatement 工具的 bindParam() 方法为这些占位符绑定上变量。末了通过 execute() 来真正地实行 SQL 语句。
从这段代码中,我们就可以看到预处理语句的两大上风的表示。首先是占位符,利用占位符之后,我们就不用在 SQL 语句中去写单引号,单引号每每便是 SQL 注入的紧张漏洞来源。bindParam() 方法会自动地转换绑天命据的类型。当然,bindParam() 方法也可以在可选的参数中指定绑定的数据类型,这样就能让我们的代码更加安全了,大家可以查阅干系的文档。
另一个上风便是模板的能力,我们只定义了一个 PDOStatement 工具,然后通过改变数据的内容,就可以多次地利用 execute() 方法去实行预处理语句。
占位符还有另一种写法,便是利用一个问号来作为占位符号,在这种情形下,bindParam() 方法的键名就要利用数字下标了。这里须要把稳的是,数字下标是从 1 开始的。
//?占位符$stmt=$pdo->prepare("insertintozyblog_test_user(username,password,salt)values(?,?,?)");$stmt->bindParam(1,$username);$stmt->bindParam(2,$password);$stmt->bindParam(3,$salt);$username='three';$password='123123';$salt='ccc';$stmt->execute();
在我们的查询中,也是可以方便地利用预处理语句的功能进行数据查询的。在这里,我们直策应用 execute() 来为占位符通报参数。
//查询获取数据$stmt=$pdo->prepare("selectfromzyblog_test_userwhereusername=:username");$stmt->execute(['username'=>'one']);while($row=$stmt->fetch()){print_r($row);}mysqli 操作预处理语句
虽说主流是 PDO ,而且大部分框架中利用的也是 PDO ,但我们在写脚本,或者须要快速地测试一些功能的时候,还是会利用 mysqli 来快速地开拓。当然,mysqli 也是支持预处理语句干系功能的。
//mysqli预处理$conn=newmysqli('127.0.0.1','root','','blog_test');$username='one';$stmt=$conn->prepare("selectusernamefromzyblog_test_userwhereusername=?");$stmt->bind_param("s",$username);$stmt->execute();echo$stmt->bind_result($unames);var_dump($unames);while($stmt->fetch()){printf("%s\n",$unames);}
可以看出,mysqli 除了方法名不同之外,绑定参数的键名也不完备的相同,这里我们利用的是问号占位,在 bind_param() 方法中,是利用 s 来表示符号位置,如果是多个参数,就要写成 sss... 这样。
总结预处理语句的能力在现在的框架中都已经帮我们封装好了,实在我们并不须要太关心,就像 Laravel 中利用 DB::select() 进行数据库操作时,我们就可以看到预处理语句的运用。 大家可以自行查阅 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法。
测试代码:
https://github.com/zhangyue0503/dev-blog/blob/master/php/202008/source/PHP%E4%B8%AD%E6%93%8D%E4%BD%9C%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E9%A2%84%E5%A4%84%E7%90%86%E8%AF%AD%E5%8F%A5.php
参考文档:
https://www.php.net/manual/zh/pdo.prepared-statements.php
