MySQL语句预处理

最新推荐文章于 2023-11-29 15:28:16 发布
最新推荐文章于 2023-11-29 15:28:16 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: MYSQL 文章标签: MYSQL
PreparedStatement与Statement
相同点:创建对象,通过此对象调用executeQuery方法执行sql语句
不同点
       语句格式不同:PrepareStatement把SQL中的参数、变量剥离出来,看似代码行数增加,实则提高了代码的可阅读性
       语句中的变量用问号代替,而后通过setString给变量传值,有效防止SQL注入,增强了安全性
       实现SQL语句模板化,模板可以预定义,相同的SQL语句可以发送给SQL引擎预处理,提高了执行效率


例1:用CreateStatement方法创建对象stmt,通过stmt执行SQL

String $sql = "select * from users where  username = $username and userpwd = $userpwd";
$stmt = conn.createStatement();
$rs = stmt.executeQuery($sql);
例2:用PrepareStatement方法创建对象pstmt,通过stmt执行SQL 
$sql = "select * from users where  username = ? and userpwd= ? ";
$pstmt = conn.prepareStatement(sql);
$pstmt.setString(1, username);
$pstmt.setString(2, userpwd);
$rs = pstmt.executeQuery($sql);
预处理语句的工作原理:
        预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记,例如:
        INSERT INTO MyGuests(username, pwd, age) VALUES(?, ?, ?);
SELECT * FROM tableName WHERE columName1 = ? AND columName2 = ?
        数据库解析,编译,对SQL语句模板执行查询优化,并存储结果(不输出)。
        执行:最后,将应用绑定的值传递给参数("?" 标记),数据库执行语句。应用可以多次执行语句,如果参数的值不一样。
例子 
$sql = "INSERT INTO MyGuests(username, pwd, age) VALUES(?, ?, ?)";  //预定义语句
$username = "Admin";                  //准备参数值
$pwd = "123";
$age = 25;
$pstmt = conn.prepareStatement(sql);  //传参
$pstmt.setString(1, $username);
$pstmt.setString(2, $pwd);
$pstmt.setString(3, $age);
$rs = pstmt.executeQuery($sql);       //执行
预处理语句的优点:
        由于数据库对语句进行了预处理,所以相同语句看似多次执行,但实际只做了一次查询,减少了分析时间。
        绑定参数减少了服务器带宽,执行时只需发送查询参数,而非整个语句。
        参数值发送后使用不同的协议,有效防止SQL注入,保证了数据的合法性。

预处理语句分为DML预处理(操作数据)和DQL预处理(查询数据)
DML预处理: 
$mysqli = new mysqli('localhost','root','mayi1991','dbname');  //创建连接对象
$mysqli->query('set names utf8');                                 //设置编码
$mysqli_stmt = $mysqli->prepare("INSERT tableName(username, pwd, age) values(?, ?, ?)");  //发送SQL模板给数据库引擎进行预编译
$username = "Admin"; 
$pwd = "123";
$age = 25;
$mysqli_stmt->bind_param("ds", $username, $pwd, $age);  //传递参数给数据库引擎(不能直接传值,只能用变量)
$mysqli_stmt->execute();  //执行(返回boolean值)
DQL预处理: 
$mysqli = new mysqli('localhost','root','mayi1991','dbname');  //创建连接对象
$mysqli_stmt = $mysqli->prepare('SELECT username, pwd, age FROM tableName WHERE username = ?');  //发送SQL模板给数据库引擎进行预编译
$username = "Admin";  //绑定参数
$mysqli_stmt->bind_param('i', $username);  //传递参数给数据库引擎(不能直接传值,只能用变量)
$mysqli_stmt->execute();//执行
$mysqli_stmt->bind_result($username, $pwd, $age);  //绑定结果集(变量指向的是内存地址)
while($mysqli_stmt->fetch()  //输出结果集
{
	echo "$username--$pwd--$age";
}

bind_param函数:bind_param(“sss”, firstname,firstname,lastname, $email);
1:该函数绑定了 SQL 的参数,且告诉数据库参数的值。 “sss” 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字符串。 
参数有以下四种类型: 
i - integer(整型) 
d - double(双精度浮点型) 
s - string(字符串) 
b - BLOB(布尔值) 
每个参数都需要指定类型。 
多难成佛
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql 预处理语句_预处理语句
weixin_35871519的博客
02-07 1545
MySQL 8.0支持服务器端预处理语句。这种支持利用了有效的客户端/服务器二进制协议。对参数值使用带占位符的预处理语句具有以下好处:每次执行语句时解析语句的开销都较小。通常,数据库应用程序处理大量几乎相同的语句,仅对子句中的文字或变量值进行更改,例如WHERE查询和删除,SET更新和VALUES插入。防止SQL注入攻击。参数值可以包含未转义的SQL引号和定界符。应用程序中的预处理语句您可以通过...
预处理SQL语句
weixin_46834417的博客
08-19 2932
所谓预处理指的就是将SQL语句中的关键字(如 SELECT…FROM…)与数据(如字段名,数据表名)分离,使得针对不同数据的相同SQL语句的执行开销更小,同时又可防止SQL注入的攻击 **传统方式的SQL语句,**在执行时每条SQL都需要经过分析丶编译和优化的步骤。 预处理方式则是利用客户端与服务器的二进制协议,预先编译一次客户端发送的SQL语句模板,然后再根据客户端发送给服务器相应数量的变量进行执行操作,并旦针对一条SQL语句模板可以执行多次,还无需考虑数据中含有未转义的SQI引号和分隔符字符. 预处理
自学Python笔记记录——Day3(if语句
weixin_45365220的博客
05-07 250
自学python——Day3 一. if-else语法基础 在python中if-else的格式为 if 判断条件: 判断语句 else: 判断语句 注1:在判断语句前面要进行缩进(4次空格),在if条件下被缩进的语句都是判断语句,非缩进语句为正常代码语句不受判断语句影响 注2:在同一组if和else语句之间不能加入非缩进语句 二. python的逻辑运算符只有 and(...
mysql预处理语句_MySQL入门之预处理语句的使用
weixin_39897267的博客
01-18 444
MySQL客户端/服务器协议提供了预处理语句。该功能采用了由mysql_stmt_init()初始化函数返回的MYSQL_STMT语句处理程序数据结构。对于多次执行的语句预处理执行是一种有效的方式。首先对语句进行解析,为执行作好准备。接下来,在以后使用初始化函数返回的语句句柄执行一次或多次。对于多次执行的语句预处理执行比直接执行快,主要原因在于,仅对查询执行一次解析操作。在直接执行的情况下,每...
mysql里字符串处理语句_sql语句字符串处理函数
weixin_42510140的博客
02-28 120
函数database() 查询当前所使用的数据库名user() 或 current_user() 查询当前用户version() 或 @@version 查看当前数据库的版本文本处理函数eg:mysql> SELECT LEFT('foobarbar ' , 5)-> 'fooba 'mysql> SELECT LTRIM(' barbar ')-> 'barbarmysq...
mysql里字符串处理语句_mysql的字符串处理函数
weixin_29429691的博客
02-10 214
标签:一、简明总结ASCII(char)        返回字符的ASCII码值BIT_LENGTH(str)      返回字符串的比特长度CONCAT(s1,s2…,sn)将s1,s2…,sn连接成字符串CONCAT_WS(sep,s1,s2…,sn)将s1,s2…,sn连接成字符串,并用sep字符间隔INSERT(str,x,y,instr)将字符串str从第x位置开始,y个字符长的子串替换...
理解Mysql prepare预处理语句
09-10
主要帮助大家学习理解Mysql prepare预处理语句,对prepare预处理语句感兴趣的小伙伴们可以参考一下
PHP MySQL 预处理语句
01-03
预处理语句对于防止 MySQL 注入是非常有用的。 预处理语句及绑定参数 预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。 预处理语句的工作原理如下: 预处理:创建 SQL 语句模板并发送到数据库。预留的值...
MYSQL C API预处理语句
04-04
MYSQL C API预处理语句
MySQL预处理语句prepare、execute与deallocate的使用教程
09-09
主要介绍了MySQL预处理语句prepare、execute与deallocate的使用教程,文中通过示例代码介绍的非常详细,对大家学习或者使用mysql具有一定的参考学习价值,需要的朋友们下面跟着小编一起来学习学习吧。
【数据库优化-预处理MySQL预处理技术
qq_25285531的博客
05-06 453
所谓的预处理技术,最初也是由MySQL提出的一种减轻服务器压力的一种技术! 传统mysql处理流程 1, 在客户端准备sql语句 2, 发送sql语句MySQL服务器 3, 在MySQL服务器执行该sql语句 4, 服务器将执行结果返回给客户端 这样每条sql语句请求一次,mysql服务器就要接收并处理一次,当一个脚本文件对同一条语句反复执行多次的时候,mysql服务器压力会变大,所以...
预处理语句
weixin_33735077的博客
05-11 436
【1】预处理语句是什么语句预处理语句最明显的标志是一些行首以#开始的特殊语句。 例如:#include,#define 等就是预处理语句。在程序的其它编译处理(词法分析、语法分析、代码生成、优化和连接等)之前,先进行这些语句的分析处理。 【2】预处理语句使用的目的? 目的在于帮助程序员编写出易读、易改、易移植并便于调试的程序。 【3】预处理语句主要有那些? (1...
MySQL预处理
Stannis的博客
09-16 1861
  从MySQL 4.1开始,就支持预处理语句(Prepared statement),这大大提高了客户端和服务器端数据传输的效率。当创建一个预定义SQL时,客户端向服务器发送一个SQL语句的原型;服务器端接收到这个SQL语句后,解析并存储这个SQL语句的部分执行计划,返回给客户端一个SQL语句 处理句柄,以后每次执行这条SQL,客户端都指定使用这个句柄。 即时SQL和预处理SQL对比   1、即时SQL:一次编译、一次运行   2、预处理SQL:一次编译、多次运行 预处理优势:   1、高效执行重
PHP数据库连接mysqlmysqli的区别与用法
weixin_33751566的博客
06-22 954
一、mysqlmysqli的概念相关:1、mysqlmysqli都是php方面的函数集,与mysql数据库关联不大。2、在php5版本之前,一般是用php的mysql函数去驱动mysql数据库的,比如mysql_query()的函数,属于面向过程3、在php5版本以后,增加了mysqli的函数功能,某种意义上讲,它是mysql系统函数的增强版,更稳定更高效更安全,与mys...
mysql预处理函数
u013950690的博客
02-27 542
mysql预处理语句
MySQL快查-预处理SQL语句
cracal的博客
10-21 670
MySQL快查 因为在日常工作学习中经常忘记mysql的一些语句、关键字、操作等内容,所以最近抽取时间写了以下关于mysql相关内容。相当于一本字典吧 重置mysql密码 数据类型 运算符 常用函数 数据完整性 数据库的基本操作 对表本身的操作 对表中数据的操作 子查询 多表连接 索引 视图 本文 预处理SQL语句MySQL快查创建预处理语句执行预处理语句释放预处理语句 MySQL数据库中的prepare、execute、deallocate统称为预处理语句。 创建预处理语句 prepare stmt
什么是预处理?防SQL注入的原理?使用预处理防止被恶意注入
最新发布
Jin_Xiang123的博客
11-29 1191
⭐ 前言 ⭐本篇文章主要介绍什么是预处理?防sql注入的原理?使用预处理防止SQL被恶意注入简单知识以及部分理论知识 SQL注入是指攻击者通过在Web应用程序中注入恶意SQL代码,从而导致数据库执行恶意的SQL语句。为了防止SQL注入,可以采用以下原理: 在以上示例中,使用了 ' 任意值 ' or '1'='1' 的方法恶意注入了SQL语句,恶意用户输入 '任意值' or '1'='1',进行对SQL语句注入 从而影响最终结果。
php预处理语句,什么是预处理语句?又该如何使用?
weixin_36435325的博客
03-10 557
许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重复执行许...
mysql预处理语句 select 写法
06-11
MySQL预处理语句可以使用以下方式来实现select查询: 1. 准备预处理语句 ``` PREPARE stmt FROM 'SELECT * FROM table WHERE id = ?'; ``` 2. 绑定参数 ``` SET @id = 1; ``` 3. 执行预处理语句 ``` EXECUTE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值