php_pdo 预处理语句详解

最新推荐文章于 2021-03-10 00:55:53 发布
最新推荐文章于 2021-03-10 00:55:53 发布
阅读量342 收藏 1
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/yuanscn/p/11238476.html
版权

/**

许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。可以使用多种方式实现预处理,下面通过这篇文章来给大家详细的介绍下关于php_pdo预处理语句,文中通过实例代码介绍的很详细,有需要的朋友们可以参考借鉴,下面来一起看看吧。

*/

这篇文章主要介绍的是关于php_pdo 预处理语句,下面话不多说,我们来看看详细的内容。

一、预处理语句可以带来两大好处:

1、查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化
执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大
大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因
而运行得更快。

2、提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会
发生SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。

二、预处理实例:

 

<?php
 
//?号式的预处理语句 一共有3种绑定方式
//1.连接数据库
try {
$pdo = new PDO( "mysql:host=localhost;dbname=jikexueyuan" , "root" , "" );
} catch (PDOException $e ){
die ( "数据库连接失败" . $e ->getMessage());
}
 
//2.预处理的SQL语句
$sql = "insert into stu(id,name,sex,age) values(?,?,?,?)" ;
$stmt = $pdo ->prepare( $sql );
 
//3.对?号的参数绑定
//(第一种绑定方式)
 
/* $stmt->bindValue(1,null);
$stmt->bindValue(2,'test55');
$stmt->bindValue(3,'w');
$stmt->bindValue(4,22); */
 
//第二种绑定方式
/* $stmt->bindParam(1,$id);
$stmt->bindParam(2,$name);
$stmt->bindParam(3,$sex);
$stmt->bindParam(4,$age);
$id=null;
$name="test66";
$sex="m";
$age=33; */
 
//第三种绑定方式
//$stmt->execute(array(null,'test77','22',55));
//4.执行
 
$stmt ->execute( array (null, 'test77' , '22' ,55));
 
echo $stmt ->rowCount();
 
 
<?php
 
//别名式号式的预处理语句 一共有3种绑定方式
//1.连接数据库
try {
$pdo = new PDO( "mysql:host=localhost;dbname=jikexueyuan" , "root" , "" );
} catch (PDOException $e ){
die ( "数据库连接失败" . $e ->getMessage());
}
 
//2.预处理的SQL语句
$sql = "insert into stu(id,name,sex,age) values(:id,:name,:sex,:age)" ;
$stmt = $pdo ->prepare( $sql );
 
//3.对?号的参数绑定
//(第一种绑定方式)
/* $stmt->bindValue("id",null);
$stmt->bindValue("name",'ceshi1');
$stmt->bindValue("sex",'w');
$stmt->bindValue("age",22); */
 
//第二种绑定方式
/* $stmt->bindParam("id",$id);
$stmt->bindParam("name",$name);
$stmt->bindParam("sex",$sex);
$stmt->bindParam("age",$age);
$id=null;
$name="ceshi2";
$sex="m";
$age=33; */
 
//第三种绑定方式
//$stmt->execute(array(null,'test77','22',55));
//4.执行
 
$stmt ->execute( array ( "id" =>null, "name" => "ceshi3" , "sex" => "w" , "age" =>66));
 
echo $stmt ->rowCount();
 
 
<?php
 
//采用预处理SQL执行查询,并采用绑定结果方式输出
//1.连接数据库
try {
$pdo = new PDO( "mysql:host=localhost;dbname=jikexueyuan" , "root" , "" );
} catch (PDOException $e ){
die ( "数据库连接失败" . $e ->getMessage());
}
 
//2.预处理的SQL语句
$sql = "select id,name,sex,age from stu" ;
$stmt = $pdo ->prepare( $sql );
//3.执行
$stmt ->execute();
 
$stmt ->bindColumn(1, $id );
$stmt ->bindColumn(2, $name );
$stmt ->bindColumn( "sex" , $sex );
$stmt ->bindColumn( "age" , $age );
 
while ( $row = $stmt ->fetch(PDO::FETCH_COLUMN)){
echo "{$id}:{$name}:{$sex}:{$age}<br>" ;
}
/* foreach($stmt as $row){
echo $row['id']."--------".$row['name']."<br>";
}
*/
 
 
 
最佳方式:
//1.连接数据库
try {
$pdo = new PDO( "mysql:host=localhost;dbname=jikexueyuan" , "root" , "" );
} catch (PDOException $e ){
die ( "数据库连接失败" . $e ->getMessage());
}
 
//2.预处理的SQL语句
$sql = 'select catid,catname,catdir from cy_category where parentid = :parentid' ;
$stmt = $pdo ->prepare( $sql );
$params = array (
'parentid' => $subcatid
);
$stmt ->execute( $params );
//$row = $stm->fetchAll(PDO::FETCH_ASSOC);
while ( $row = $stmt ->fetch(PDO::FETCH_ASSOC)){
var_dump( $row );
echo "<br>" ;
}
 
预处理批量操作实例:
<?php
//用预处理语句进行重复插入
//下面例子通过用 name 和 value 替代相应的命名占位符来执行一个插入查询
$stmt = $dbh ->prepare( "INSERT INTO REGISTRY (name, value) VALUES (:name, :value)" );
$stmt ->bindParam( ':name' , $name );
$stmt ->bindParam( ':value' , $value );
 
// 插入一行
$name = 'one' ;
$value = 1;
$stmt ->execute();
 
// 用不同的值插入另一行
$name = 'two' ;
$value = 2;
$stmt ->execute();
 
//用预处理语句进行重复插入
//下面例子通过用 name 和 value 取代 ? 占位符的位置来执行一条插入查询。
$stmt = $dbh ->prepare( "INSERT INTO REGISTRY (name, value) VALUES (?, ?)" );
$stmt ->bindParam(1, $name );
$stmt ->bindParam(2, $value );
 
// 插入一行
$name = 'one' ;
$value = 1;
$stmt ->execute();
 
// 用不同的值插入另一行
$name = 'two' ;
$value = 2;
$stmt ->execute();
 
//使用预处理语句获取数据
//下面例子获取数据基于键值已提供的形式。用户的输入被自动用引号括起来,因此不会有 SQL 注入攻击的危险。
$stmt = $dbh ->prepare( "SELECT * FROM REGISTRY where name = ?" );
if ( $stmt ->execute( array ( $_GET [ 'name' ]))) {
while ( $row = $stmt ->fetch()) {
print_r( $row );
}
}
?>
 

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家学习或者使用php能有所帮助,如果有疑问大家可以留言交流。

 

转载于:https://www.cnblogs.com/yuanscn/p/11238476.html

dieqi9270
关注
PHP中的PDO扩展如何使用预处理语句来防止SQL注入攻击?有哪些安全实践建议?
Marthaondon的博客
04-15 1264
然后,我们使用prepare()方法准备了一个预处理语句,该语句中的:name和:email是占位符,我们将在执行语句之前为它们绑定具体的值。更重要的是,PDO支持预处理语句,这是一种在执行时将数据与SQL语句分开的方法,从而有效地防止SQL注入攻击。预处理语句的工作原理是,先将SQL语句模板发送到数据库服务器进行预编译,然后在执行时再绑定具体的参数值。这样,即使参数值中包含可能破坏SQL语句结构的特殊字符(如单引号),也不会影响预编译的SQL语句模板,从而有效地防止了SQL注入。// 准备预处理语句
pdo mysql 执行多条sql_PDO中执行SQL语句的三种方法
weixin_35734408的博客
02-02 1276
PDO中执行SQL语句的三种方法在PDO中,我们可以使用三种方式来执行SQL语句,分别是 exec()方法,query方法,以及预处理语句prepare()和execute()方法~在上一篇文章《使用PDO构造函数连接数据库及DSN详解》中,我们介绍了如何使用构造函数连接数据库和DSN的详解,那么我们这篇文章跟大家介绍在PDO中执行SQL语句的三种方式,下面我们将一一介绍!第一种方法:exec()...
php mysql预处理_PHP PDO数据库操作预处理与注意事项
weixin_35836405的博客
01-19 206
PDO(PHP Database Object)扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库,都可以通过一致的函数执行查询和获取数据。在数据库操作方面更加安全更加高效!PDOPHP访问各类数据库定义了一个轻量级一致性的接口,无论什么数据库,都可以通过一致的方法执行查询和获取数据,而不用考虑不同数据库之间的差异,大大简化了数据库操作。...
php pdo数据库操作-预处理,PHP PDO数据库操作预处理与注意事项
weixin_40004659的博客
03-10 122
PDO(PHP Database Object)扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库,都可以通过一致的函数执行查询和获取数据。在数据库操作方面更加安全更加高效!PDOPHP访问各类数据库定义了一个轻量级一致性的接口,无论什么数据库,都可以通过一致的方法执行查询和获取数据,而不用考虑不同数据库之间的差异,大大简化了数据库操作。...
前端学PHPPDO预处理语句
weixin_34109408的博客
12-05 344
前面的话   本来要把预处理语句和前面的基础操作写成一篇的。但是,由于博客园的限制,可能是因为长度超出,保存时总是报错,于是再开一篇。另一方面,相较于前面的exec()和query()语句来说,预处理语句更加常用   定义   在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了一种名为预处理语句...
php -- PDO预处理
weixin_34223655的博客
07-23 158
   可以使用多种方式实现预处理:指的是在绑定数据进行执行的时候,可以有多种方式。 预处理语句中为变量 使用数组指定预处理变量   1、准备预处理语句(发送给服务器,让服务器准备预处理语句)   PDOStatement PDO::prepare:类似exec将一条SQL语句发送给Mysql服务器       //PDO::prepare 能够自动的准备一个预处理语句,用户需要准备的只...
员工任务管理系统PHP_PDO源代码.zip
06-29
PDO提供了预处理语句,能有效防止SQL注入攻击,同时提高了代码的可读性和可维护性。 3. MVC架构:此系统可能采用了Model-View-Controller(模型-视图-控制器)的设计模式。模型负责业务逻辑和数据操作,视图负责...
php_pdo文件
03-30
PDO不仅提供了对多种数据库的支持,还引入了预处理语句、事务处理等高级特性,极大地提高了数据操作的安全性和效率。 一、PDO扩展的核心概念 1. 数据库驱动:PDO本身并不直接连接数据库,而是通过一系列的驱动实现...
PHP PDO预处理
翔宇的博客
03-05 842
使用部门封装的MySQL操作类插入语句时碰到一个参数不明白,use_prepare = true。查文档发现是做数据库预处理用的,那么什么是数据库预处理呢?就是将动态参数嵌入到语句中编译的一个过程,编译后的语句可以重复利用。在phpPDO中,用法是: &lt;?php $stmt = $dbh-&gt;prepare("INSERT INTO REGISTRY (name, value) ...
PHPPDO预处理
weixin_43731793的博客
09-17 359
** ** ** ** ** ** ** ** ** ** **
php pdo mysql 预处理_php -- PDO预处理
weixin_39988930的博客
02-28 154
可以使用多种方式实现预处理:指的是在绑定数据进行执行的时候,可以有多种方式。预处理语句中为变量使用数组指定预处理变量1、准备预处理语句(发送给服务器,让服务器准备预处理语句)PDOStatement PDO::prepare:类似exec将一条SQL语句发送给Mysql服务器//PDO::prepare 能够自动的准备一个预处理语句,用户需要准备的只是预处理所要执行的语句//需求:往学生表里循环插...
php学习笔记之PDO预处理
菜鸟sdut的博客
06-11 1610
PDO预处理方法 prepare()// 用于执行查询SQL语句,返回PDOStatement对象 bindValue() //将值绑定到对应的一个参数,返回布尔值 bindParam()//将参数绑定到相应的查询占位符上,返回布尔值 bindColumn() //用来匹配列名和一个指定的变量名 execte() //执行一个准备好了的预处理语句,返回布尔值 rowCount() //
pdo预处理
qcy_10086的博客
09-06 446
//链接数据库 $dsn="mysql:host=127.0.0.1;dbname=jq"; $pdo=new PDO($dsn,"root","root"); //防乱码 $pdo->exec("set names utf8"); //准备语句 $sql="select * from lianxi1 where name=:name"; $stem=$pdo->prepare($s
pdo预处理语句
weixin_33785108的博客
06-26 135
PDO预处理语句的支持需要使用PDOStatement类对象,但该类对象并不是通过NEW关键字实例化出来的,而是通过PDO对象中的prepare()方法,在数据库服务器中准备好一个预处理的SQL语句后直接返回的。如果通过之前执行PDO对象中的query()方法返回的PDOStatement类对象,只代表的是一个结果集对象。而如果通过执行PDO对象中的prepare()方法产生的PDOStatem...
PDO 预处理语句与存储过程
冷月醉雪的博客
04-12 179
查看更多 https://www.yuque.com/docs/share/66157d28-b8ee-4c37-8efb-6baf8164c812
php_pdo预处理
wml
05-31 610
预处理语句可以带来两大好处: 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句
PDO 简介——预处理语句和存储过程
水墨熊猫
09-28 8964
许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重
php mysql pdo 预处理语句
Gy__My的博客
02-26 1013
pdophp数据库连接的三种方式之一,也是最常用的方式(大部分php框架与数据库链接用的都是pdo的方式),自从php引入了pdo扩展,大大增强的php的实用性,从而更受欢迎。下面分享一下pdo中强大功能的一角:使用pdo实现数据库预处理语句:    $servername = "localhost"; $username = "username"; $password =
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值