PHP PDO预处理

最新推荐文章于 2024-04-15 17:35:01 发布
最新推荐文章于 2024-04-15 17:35:01 发布
阅读量834 收藏 1
点赞数
分类专栏: php MySQL 文章标签: php MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxymrzero/article/details/79450319
版权
php 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
MySQL
2 篇文章 0 订阅
订阅专栏

使用部门封装的MySQL操作类插入语句时碰到一个参数不明白,use_prepare = true。查文档发现是做数据库预处理用的,那么什么是数据库预处理呢?就是将动态参数嵌入到语句中编译的一个过程,编译后的语句可以重复利用。在php的PDO中,用法是:

<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);

// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();

//  用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
?>

传入参数的方法除了:var 外还有?

<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);

// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();

// 用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
?>

感觉? 做占位符可读性不是很好。

也可以不用bindParam()绑定参数:

$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
$stmt->execute(array($_GET['name']));

使用预处理的优点是
1. 可以防SQL注入,完全用预处理的方式去进行SQL操作可以完全避免SQL注入的发生
2. 不用自己拼' ,预处理会自动对字符串加引号

以后操作MySQL的时候都要先prepare 一下~

参考:预处理语句与存储过程

翔宇的博客
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php mysql预处理_PHP PDO数据库操作预处理与注意事项
weixin_35836405的博客
01-19 180
PDO(PHP Database Object)扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库,都可以通过一致的函数执行查询和获取数据。在数据库操作方面更加安全更加高效!PDOPHP访问各类数据库定义了一个轻量级一致性的接口,无论什么数据库,都可以通过一致的方法执行查询和获取数据,而不用考虑不同数据库之间的差异,大大简化了数据库操作。...
PDO预处理
qq_25285531的博客
05-06 356
PDO中的基本的原理和步骤和MySQL中的预处理都是一样的,只不过就是把MySQL中的预处理所有命令行的语法封装成了PDO对象的几个公开的方法而已! 1.发送预处理语句 此时,我们需要调用pdo对象的prepare方法,得到一个PDOStatement结果对象! 2.绑定参数 调用PDOStatement对象中的bindParam方法: 3.执行预处理语句 调用PDOStatement对象中的e...
PHP中的PDO扩展如何使用预处理语句来防止SQL注入攻击?有哪些安全实践建议?
最新发布
Marthaondon的博客
04-15 1142
然后,我们使用prepare()方法准备了一个预处理语句,该语句中的:name和:email是占位符,我们将在执行语句之前为它们绑定具体的值。更重要的是,PDO支持预处理语句,这是一种在执行时将数据与SQL语句分开的方法,从而有效地防止SQL注入攻击。预处理语句的工作原理是,先将SQL语句模板发送到数据库服务器进行预编译,然后在执行时再绑定具体的参数值。这样,即使参数值中包含可能破坏SQL语句结构的特殊字符(如单引号),也不会影响预编译的SQL语句模板,从而有效地防止了SQL注入。// 准备预处理语句。
PDO预处理
烈火熊熊在我心
08-06 1771
这篇来说一下PDO预处理。原理本质上就是编译一次,多次执行。PDO预处理语句(prepared statement)机制,是将一条SQL命令向数据库服务器发送一次(此时发送的参数不是实参,是占位符),以后参数发生变化,数据库服务器只需对命令的结构做一次分析就够了。$stmt = $conn->prepare("insert into categorylink (did,cid) values (:d
前端学PHPPDO预处理语句
weixin_34109408的博客
12-05 329
前面的话   本来要把预处理语句和前面的基础操作写成一篇的。但是,由于博客园的限制,可能是因为长度超出,保存时总是报错,于是再开一篇。另一方面,相较于前面的exec()和query()语句来说,预处理语句更加常用   定义   在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了一种名为预处理语句...
编写php运维mysql_MySQL运维实战 之 PHP访问MySQL你使用对了吗
weixin_36074841的博客
01-28 89
大家都知道,slow query系统做的好不好,直接决定了解决slow query的效率问题一个数据库管理平台,拥有一个好的slow query系统,基本上就拥有了解锁性能问题的钥匙但是今天主要分享的并不是平台,而是在平台中看到的奇葩指数五颗星的slow issue好了,关子卖完了,直接进入正题一、症状一堆如下慢查询# User@Host: cra[cra] @ [xx] Id: 335288...
php_pdo 预处理语句详解
10-21
许多成熟的数据库都支持预处理语句...可以使用多种方式实现预处理,下面通过这篇文章来给大家详细的介绍下关于php_pdo预处理语句,文中通过实例代码介绍的很详细,有需要的朋友们可以参考借鉴,下面来一起看看吧。
PHPPDO预处理语句与存储过程
10-17
今天小编就为大家分享一篇关于PHPPDO预处理语句与存储过程,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
php实现基于PDO预处理示例
10-20
以下是对PHP实现基于PDO预处理进行详细说明: 首先,我们需要创建一个PDO对象来连接到数据库。在本示例中,我们连接到本地主机上的MySQL数据库,用户名为"root",密码为"admin",数据库名为"test"。这可以通过...
mysqlpdo连接_pdo连接mysql操作方法
weixin_30311179的博客
01-19 886
代码如下:$dbh = new PDO(‘mysql:host=localhost;dbname=access_control‘, ‘root‘, ‘‘);$dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);$dbh->exec(‘set names utf8‘);/*添加*///$sql = "INSERT ...
PHP PDO 抽象类 预编译SQL防注入
zhoumi_
12-09 273
分享一个PHP PDO 的工具类,采用预编译有效防止SQL注入 先上源码 <?php class DB { # @object, The PDO object private $pdo; # @object, PDO statement object private $sQuery; # @array, The database setting...
php pdo组件的用法
07-05
单条查询不需要启用事务处理,并且不需要使用PDO预处理方式,但注意要使用$pdo->quote()方法来自动将字符型变量值的字符中首尾加上单引号,以防止SQL注入,并且免去特殊符号转义的过程。 Query('set names "utf8"'); //设置mysql字符集 $sql_str='select * from tb where var2='.intval($var2).' and var1='.$pdo->quote($var1); //sql语句 if (!$sql=$pdo->Query($sql_str)) { //如果查询出错 $sql_info=$pdo->errorInfo(); //取得错误信息数组(注意此处取的是$pdo的errorInfo而不是$sql的) echo '错误:'.$sql_info[2]; //输出错误信息 } else { $row=$sql->fetchAll(); //取得所有记录 if(count($row)==0) { //记录记录结果 echo '没有符合条件的记录'; } else { /* 仅输出一条记录 $row=$sql->fetch(); echo 'id:'.$row['id'].''; */ foreach($row as $row) { //循环保存所有结果到数组变量$row echo 'id:'.$row['id'].''; } } } unset($pdo); //注销pdo对象 } catch (Exception $e) { die('数据库连接失败'); } ?>
自己封装的PDO类,可以处理mysql增删改查,支持预处理
01-09
自己封装的PDO类,可以处理mysql增删改查等基础操作,也可以实现执行原装的sql语句,支持预处理
预处理语句与存储过程
wangsg2014的专栏
07-17 844
很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。预处理语句可以带来两大好处: 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应
php学习笔记之PDO预处理
菜鸟sdut的博客
06-11 1596
PDO预处理方法 prepare()// 用于执行查询SQL语句,返回PDOStatement对象 bindValue() //将值绑定到对应的一个参数,返回布尔值 bindParam()//将参数绑定到相应的查询占位符上,返回布尔值 bindColumn() //用来匹配列名和一个指定的变量名 execte() //执行一个准备好了的预处理语句,返回布尔值 rowCount() //
php mysql pdo 预处理语句
Gy__My的博客
02-26 978
pdophp与数据库连接的三种方式之一,也是最常用的方式(大部分php框架与数据库链接用的都是pdo的方式),自从php引入了pdo扩展,大大增强的php的实用性,从而更受欢迎。下面分享一下pdo中强大功能的一角:使用pdo实现数据库的预处理语句:    $servername = "localhost"; $username = "username"; $password =
pdo通过预处理语句防止sql注入
云影杳杳的博客
11-25 4573
本文会通过一个简单的登录验证来演示通过预处理语句防注入。 数据库:test; 创建表:CREATE TABLE USER( id INT UNSIGNED AUTO_INCREMENT KEY, username VARCHAR(20) NOT NULL, password CHAR(20) NOT NULL, email CHAR(20) NOT NULL);向表中插入一条数据:INS
pdo预处理机制及自动参数绑定功能
resilient的博客
12-10 345
PDO预处理语句就是把你想要运行的sql语句编译成一种模板,然后dao可以绑定参数去处理。 它的好处是,sql语句只解析一次,可以对参数绑定一次或者多次执行,提高了性能,节约了带宽的传输。 另外可以防止sql注入。 ...
php mysql语句预编译
qq_38227612的博客
03-08 1897
php mysql语句预编译(preparestatement)预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。预处理语句的工作原理如下:预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如:INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)数据库解析,编译,对SQL语句模...
php预处理代码
05-31
下面是一个使用PDO预处理语句的示例代码: ``` // 连接数据库 $dsn = 'mysql:host=localhost;dbname=test'; $username = 'username'; $password = 'password'; $options = array( PDO::MYSQL_ATTR_INIT_COMMAND =>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值