PHP MySQL 预处理语句

最新推荐文章于 2024-06-16 05:34:45 发布
最新推荐文章于 2024-06-16 05:34:45 发布
阅读量409 收藏
点赞数
文章标签: mysql php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T0620514/article/details/128696269
版权

预处理语句对于防止 MySQL 注入是非常有用的。

预处理语句及绑定参数

预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。

预处理语句的工作原理如下:

  1. 预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如:

    INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)

  2. 数据库解析,编译,对SQL语句模板执行查询优化,并存储结果不输出。

  3. 执行:最后,将应用绑定的值传递给参数("?" 标记),数据库执行语句。应用可以多次执行语句,如果参数的值不一样。

相比于直接执行SQL语句,预处理语句有两个主要优点:

  • 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。

  • 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。

  • 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。

MySQLi 预处理语句

以下实例在 MySQLi 中使用了预处理语句,并绑定了相应的参数:

实例 (MySQLi 使用预处理语句)

<?php $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDB"; // 创建连接 $conn = new mysqli($servername, $username, $password, $dbname); // 检测连接 if ($conn->connect_error) { die("连接失败: " . $conn->connect_error); } // 预处理及绑定 $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"); $stmt->bind_param("sss", $firstname, $lastname, $email); // 设置参数并执行 $firstname = "John"; $lastname = "Doe"; $email = "john@example.com"; $stmt->execute(); $firstname = "Mary"; $lastname = "Moe"; $email = "mary@example.com"; $stmt->execute(); $firstname = "Julie"; $lastname = "Dooley"; $email = "julie@example.com"; $stmt->execute(); echo "新记录插入成功"; $stmt->close(); $conn->close(); ?>

解析以下实例的每行代码:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"

在 SQL 语句中,我们使用了问号 (?),在此我们可以将问号替换为整型,字符串,双精度浮点型和布尔值。

接下来,让我们来看下 bind_param() 函数:

$stmt->bind_param("sss", $firstname, $lastname, $email);

该函数绑定了 SQL 的参数,且告诉数据库参数的值。 "sss" 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字符串。

参数有以下四种类型:

  • i - integer(整型)
  • d - double(双精度浮点型)
  • s - string(字符串)
  • b - BLOB(binary large object:二进制大对象)

每个参数都需要指定类型。

通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。

注意: 如果你想插入其他数据(用户输入),对数据的验证是非常重要的。

PDO 中的预处理语句

以下实例我们在 PDO 中使用了预处理语句并绑定参数:

实例 (PDO 使用预处理语句)

<?php $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDBPDO"; try { $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); // 设置 PDO 错误模式为异常 $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // 预处理 SQL 并绑定参数 $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (:firstname, :lastname, :email)"); $stmt->bindParam(':firstname', $firstname); $stmt->bindParam(':lastname', $lastname); $stmt->bindParam(':email', $email); // 插入行 $firstname = "John"; $lastname = "Doe"; $email = "john@example.com"; $stmt->execute(); // 插入其他行 $firstname = "Mary"; $lastname = "Moe"; $email = "mary@example.com"; $stmt->execute(); // 插入其他行 $firstname = "Julie"; $lastname = "Dooley"; $email = "julie@example.com"; $stmt->execute(); echo "新记录插入成功"; } catch(PDOException $e) { echo "Error: " . $e->getMessage(); } $conn = null; ?>

 

T0620514
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SQL注入防御之三——SQL语句预处理PHP
心有猛虎,细嗅蔷薇!
08-26 8126
这篇文章将会告诉你,PHP怎么使用SQL语句预处理预处理语句有什么优点,以及分析预处理语句如何防止SQL注入
PHP当中SQL语句预处理
weixin_44739368的博客
06-02 1671
一、什么是预处理 1、实现SQL语句预处理 2、首先需要预处理一个待执行的SQL语句模板 3、然后为该模板进行参数绑定 4、最后将用户提交的数据内容发送给MySQL执行,完成预处理的执行 二、预处理的实现——预处理SQL模板 1、mysqi_prepare()函数用于预处理一个待执行的SQL语句 mysqli_stmt mysqli_prepare ( mysqli $link , strin...
php中的sql防注入
ocean2017的博客
07-08 142
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
php 预处理 防注入,PHP防止sql注入小技巧之sql预处理原理与实现方法分析
weixin_39561431的博客
03-10 164
本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下:我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。我们来看下它有什么好处:预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句预处理语句针对SQL注入是非常有用的,因为参数...
sql防注入——SQL语句预处理PHP
你好~我叫哆啦A梦~
11-17 863
&lt;?php header("content-type:text/html;charset=utf-8"); //设置编码 include_once "conn.php"; //是否有提交 if ($_POST["title"] and $_POST["content"]){ //获取值 $title=$_POST["title"]; $content=$_POST..
php mysql 预处理_PHP MySQL 预处理语句
weixin_28864139的博客
01-19 283
PHP MySQL 预处理语句在本教程中,您将学习如何使用PHPMySQL中使用预处理语句预处理语句是什么预处理语句(也称为参数化语句)只是一个SQL查询模板,其中包含占位符而不是实际参数值。在执行语句时,这些占位符将被实际值替换。MySQLi支持使用匿名位置占位符(?),如下所示:INSERTINTOpersons(first_name,last_name,email)VALUE...
thinkphp mysql 预处理_PHP MySQL 预处理语句
weixin_39521009的博客
01-19 297
PHP MySQL 预处理语句MySQL 从4.1版本开始提供了一种名为预处理语句(prepared statement)的机制。MySQL 预处理语句不仅大大减少了需要传输的数据量,还提高了命令的处理效率。预处理语句对于防止 MySQL 注入是非常有用的。预处理语句及绑定参数预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。预处理语句的工作原理如下:预处理:创建 SQL 语句模板并发...
PHP MySQL 预处理语句:读取数据:Where子句.md
06-13
PHP 中使用 MySQL 预处理语句(prepared statements)是一种推荐的方式来执行数据库操作,特别是当涉及到用户输入时。预处理语句可以帮助防止 SQL 注入攻击,因为它们会将数据与 SQL 查询语句分开处理。
PHP MySQL 预处理语句.rar
09-16
PHP MySQL 预处理语句.rar
PHP PDO数据库操作预处理与注意事项
01-02
PDO(PHP Database Object)扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库...成熟的数据库都支持预处理语句(Prepared Statements)的概念。 它们是什么
PHP-MySQLi-Database-Class, 一个使用 MySQLi 和预处理语句PHP MySQL类的包装器.zip
09-18
PHP-MySQLi-Database-Class, 一个使用 MySQLi 和预处理语句PHP MySQL类的包装器 $v ) 和数组($k = > array ($v ,$v))中的结果。 $user = $db->map (\'login\')->ObjectBuilder()->getOne (\'users\', \'login
jmeter性能优化之mysql监控sql慢查询语句分析
回家吃月饼的学习交流地
06-09 886
jmeter性能之sql慢查询语句分析
使用消息队列(MQ)实现MySQL持久化存储与MySQL server has gone away问题解决
最新发布
qq_33665793的博客
06-16 466
而其中一个常见的需求是将消息队列中的数据持久化到数据库中,以确保数据的安全性和可靠性。通过使用消息队列(MQ)将消息持久化存储到MySQL数据库,我们可以提高系统的可靠性和可维护性。它提供了可靠的事务支持和高性能的查询功能。2. 数据可靠性:通过将消息队列中的数据存储到MySQL数据库中,可以确保消息被可靠地处理和传递给消费者。4. 消息消费:编写一个消费者程序,从MQ的队列中获取消息,并将消息存储到MySQL数据库中。5. 消息确认:在成功将消息存储到数据库后,向MQ发送消息确认,告知MQ消息已被处理。
MySQL】服务器配置和管理
p_fly的博客
06-09 909
MySQL服务器通常说的是mysqld程序。mysqld 是 MySQL 数据库服务器的核心程序,负责处理客户端的请求、管理数据库和执行数据库操作。管理员可以通过配置文件和各种工具来管理和监控 mysqld 服务器的运行本文将介绍下面三个内容:服务器启动选项:可以在命令行和配置文件中指定,用于配置服务器的行为和特性。服务器系统变量:反映了启动选项的当前状态和值,其中一些变量可以在服务器运行时修改。服务器状态变量:包含了关于运行时操作的计数器和统计信息。
MySQL】索引(上)
开心星人的博客
06-11 806
索引是一种用于快速查询和检索数据的数据结构,排序好的数据结构。 优点:加快检索速度;通过创建唯一性索引,可以保证行数据的唯一性;通过索引列对数据进行排序,降低数据排序的成本,降低CPU的消耗 缺点:创建和维护索引需要耗费时间,本身存储也要耗费一定空间不同引擎对索引的支持情况 哈希表、有序数组、B+树、B树、红黑树,二叉树哈希表:只适用于等值查询的场景,用这种索引做不了范围查询,必须全表扫描。查询效率高有序数组:有序数组在等值查询和范围查询场景中的性能就都非常优秀,但是一旦更新数据就得挪动后面的元素,成本太高
Windows10 MySQL(8.0.37)安装与配置
XLB
06-16 284
新建变量:%MYSQL_HOME%\bin 点击确定,也可以单独在path设置成一条:C:\MySQL\mysql-8.0.37-winx64\bin即可。C:\Mysql\mysql-8.0.37-winx64 (安装路径)工具栏搜索:高级系统设置,或者鼠标右键此电脑>属性>高级系统设置。保存,将my.txt文件后缀改为.ini。编辑my.txt文件,输入以下内容。系统变量找到:Path 点击编辑。解压文件,解压到你想要的位置。(没错就是要点三个确定)新建my.txt文件。点击确定,确定,确定。
MYSQL 三、mysql基础知识 7(MySQL8其它新特性)
kkkkatoq的博客
06-14 682
MySQL从5.7版本直接跳跃发布了8.0版本,可见这是一个令人兴奋的里程碑版本。MySQL 8版本在功能上 做了显著的改进与增强,开发者对MySQL的源代码进行了重构,最突出的一点是多优化器进行了改进。不仅在速度上得到了改善,还为用户带来了更好的性能和更棒的体验。1.1 MySQL8.0 新增特性1. 更简便的NoSQL支持NoSQL泛指非关系型数据库和数据存储。随着互联网平台的规模飞速发展,传统的关系型数据库已经越来越不能满足需求。从5.6版本开始,MySQL
MySQL日常问题-行列互换
极客鼠之家
06-13 274
1、表结构和数据2、效果图说明,第一列用户信息stu_no,第二列课程号course_no,第三列课程成绩3、实现SQL
php预处理代码
05-31
PHP中使用PDO或mysqli预处理语句来避免SQL注入攻击。下面是一个使用PDO预处理语句的示例代码: ``` // 连接数据库 $dsn = 'mysql:host=localhost;dbname=test'; $username = 'username'; $password = 'password'; $...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

T0620514

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值