SQL预处理语句

最新推荐文章于 2024-09-09 08:42:59 发布
原创 最新推荐文章于 2024-09-09 08:42:59 发布
· 618 阅读 · 7 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

概念

预处理语句是一种特殊的数据库操作方式,先定义一个SQL语句模板,然后再填充具体的数据。

作用

防止SQL注入

  • 参数化查询:在预处理语句中,数据是通过参数传递的,而不是直接拼接到SQL语句中。这意味着即使参数中包含SQL命令,数据库也不会将其解释为SQL命令,因为数据库在预处理阶段已经确定了SQL语句的结构。

  • 自动转义:数据库接口会自动对传递的参数值进行转义,这可以防止特殊字符被解释为SQL语法的一部分。

优化代码结构

  • 编译优化:数据库可以预先编译SQL语句模板,当使用相同的模板但不同参数执行多次操作时,可以减少编译时间。

SQL语句预处理

1.连接数据库

        $address = '127.0.0.1';

        $lname = 'root';

        $lpasswd = 'root';

        $initalize_con = new mysqli($address,$lname,$lpasswd) 

2.准备SQL语句模板

使用占位符(?)代替实际写入的参数

        $sql = "INSERT INTO login.login_tables(name,password)VALUE(?,?)";

3.使用mysqli对象内prepare()方法准备SQL语句

prapare():mysqli对象方法

用于准备一个SQL语句,以便后续使用。

接受一个SQL语句作为参数,返回一个mysqli_stmt对象,该对象用于后续的参数绑定和执行。

$stmt = $initalize_con->prepare($sql);

4.使用mysqli_stmt对象中bind_param()方法绑定参数及其类型

bind_param():mysqli_stmt对象方法

用于将PHP变量与SQL语句中的参数占位符绑定,并指定参数的数据类型。类型指定符如下:

  • s:字符串
  • i:整数
  • d:双精度浮点数

$stmt->bind_param("ss",$name,$passwd);

5.添加数据

6.运行SQL语句

 execute():mysqli_stmt对象

用于执行一个预处理的SQL语句。根据语句类型的不同,可以直接使用变量接收,或通过调用get_result()获取查询结果集。

$end = $stmt->execute();

7.使用get_result接收查询sql语句执行后的结果集对象

 get_result():mysqli_stmt对象

获取预处理语句的执行结果,并返回一个mysqli_result对象,该对象包含了查询结果集。

对于非查询类SQL语句(如INSERTUPDATEDELETE),使用get_result()会返回false,因为这些操作不返回结果集,它们只是对数据库进行修改。

$res = $stmt->get_result();

8.关闭预处理和数据库连接

关闭预处理用于释放资源,避免报错,编码规范

        $stmt->close();

        $initalize_con->close();

 

 

 

 

 

预处理SQL语句
weixin_46834417的博客
08-19 3211
所谓预处理指的就是将SQL语句中的关键字(如 SELECT…FROM…)与数据(如字段名,数据表名)分离,使得针对不同数据的相同SQL语句的执行开销更小,同时又可防止SQL注入的攻击 **传统方式的SQL语句,**在执行时每条SQL都需要经过分析丶编译和优化的步骤。 预处理方式则是利用客户端与服务器的二进制协议,预先编译一次客户端发送的SQL语句模板,然后再根据客户端发送给服务器相应数量的变量进行执行操作,并旦针对一条SQL语句模板可以执行多次,还无需考虑数据中含有未转义的SQI引号和分隔符字符. 预处理
MySQL快查-预处理SQL语句
cracal的博客
10-21 837
MySQL快查 因为在日常工作学习中经常忘记mysql的一些语句、关键字、操作等内容,所以最近抽取时间写了以下关于mysql相关内容。相当于一本字典吧 重置mysql密码 数据类型 运算符 常用函数 数据完整性 数据库的基本操作 对表本身的操作 对表中数据的操作 子查询 多表连接 索引 视图 本文 预处理SQL语句MySQL快查创建预处理语句执行预处理语句释放预处理语句 MySQL数据库中的prepare、execute、deallocate统称为预处理语句。 创建预处理语句 prepare stmt
MySQL预处理技术
weixin_34019144的博客
05-06 324
所谓的预处理技术,最初也是由MySQL提出的一种减轻服务器压力的一种技术! 传统mysql处理流程 1, 在客户端准备sql语句 2, 发送sql语句到MySQL服务器 3, 在MySQL服务器执行该sql语句 4, 服务器将执行结果返回给客户端 这样每条sql语句请求一次,mysql服务器就要接收并处理一次,当一个脚本文件对同一条语句反复执行多次的时候,mysql服务器压力会...
预处理sql语句
grace_fang的博客
10-12 1899
<?php //执行多条sql语句 header('content-type:text/html,charset=utf8'); $mysqli=new mysqli('localhost','root','','test'); if($mysqli->errno) { die('Connect Error'.$mysqli->error); } $mysqli->set_charset('u
mysql性能优化-预处理语句(Prepared Statements)
最新发布
Flying_Fish_roe的博客
09-09 2313
预处理语句(Prepared Statements)是一种将 SQL 查询与其参数分离的机制。与传统的查询方式不同,预处理语句首先会将 SQL 查询进行编译、优化,并将其缓存,随后可以多次执行该查询,而不必每次都重新编译和解析 SQL 语句。每次执行时,预处理语句只需要提供不同的参数即可,这使得它在需要执行多次相同 SQL 查询的场景中具有明显的性能优势。准备阶段:MySQLSQL 查询语句进行编译和解析,并生成执行计划。执行阶段:传递参数,执行已编译的 SQL 语句,获取结果。
PHP的PDO预处理语句与存储过程
10-17
首先,预处理语句(prepared statements)是SQL数据库中一种编译过的查询模板,它们允许将SQL语句的结构与数据分离。在预处理语句中,占位符(如问号“?”或命名占位符如“:name”)被用于代表那些将会在执行时插入...
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
01-20
我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有什么好处: 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。 绑定参数减少了...
MySQL预处理语句prepare、execute与deallocate的使用教程
01-21
MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,我习惯称其为【预处理语句】,其用法十分简单,下面话不多说,来一起看看详细的介绍吧。 示例代码 PREPARE stmt_name FROM preparable_stmt ...
MySQL预处理语句(PREPARE)和动态SQL
六月闻君
08-09 1047
通过存储过程接收一个字符串形式的SQL条件(where后的条件),并将其直接用于SELECT语句的WHERE子句中,使用预处理语句(PREPARE)和动态SQL来实现这一功能。 通过存储过程,将处理结果返回。
SQL预处理语句(Prepared Statements)
热门推荐
that3的专栏
05-20 1万+
SQL预处理语句(Prepared Statements) 许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点: 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据
SQL语句(statement)预处理(preparedStatement)
oneSeekers的博客
10-19 3108
javaweb中sql语句预处理 预处理也叫预编译。本来sql每执行一条sql语句,就需要对这条sql语句进行编译,然后执行。预编译采用sql模版。只需要在第一次使用时编译一次。后面传参数调用就可以了。 预处理代码如下: try{ Connection con = DriverManager.getConnection(props.getProperty("url"),pro
031、SQL语句之预编译
细致-专业-实操
07-09 443
动态语句SQL注射。
java sql预处理_SQL语句预处理
weixin_36207483的博客
02-16 1210
PDO (Php Date Object)PHP数据对象PDO是PHP数据对象(PHP Data Object)的缩写。PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口;PDO作用是统一各种数据库的访问接口,PDO让跨数据库的使用更具亲和力;有了PDO,我们不必再使用mysqli_*函数、oci_*函数或者mssql_*函数,也不必再为它们封装数据库操作类,只需要使用PDO接口中的方法...
预处理sql
feihangyu的博客
10-27 815
一、SQL 语句的执行处理 1、即时 SQL   一条 SQL 在 DB 接收到最终执行完毕返回,大致的过程如下:   1. 词法和语义解析;   2. 优化 SQL 语句,制定执行计划;   3. 执行并返回结果;   如上,一条 SQL 直接是走流程处理,一次编译,单次运行,此类普通语句被称作 Immediate Statements (即时 SQL)。 2、预处理 SQL   但是,绝大多数情况下,某需求某一条 SQL 语句可能会被反复调用执行,或者每次执行的时候只有个别的值不同(比如 select
mysqlSQL预处理
hero_xsx的博客
10-11 1381
我们一般处理SQL语句时,都是即时的,mysql客户端发送一条SQL语句到mysql服务器,mysql服务器进行编译处理运行。但是有的时候我们会重复的执行一条SQL语句,这是使用即时处理,就会造成很大的资源浪费,而且耗费时间,特别是操作大量数据时。 对于这一问题我们通过SQL预处理,可以很好地解决这一问题。SQL预处理步骤一般为prepare,execute,drop。 我们现在来...
MySQL - 动态SQL预处理语句
小小默:进无止境
07-21 6082
在存储过程或者函数中,有时SQL语句是通过变量传值生成的。这时候就需要使用动态SQL,如果直接在SQL语句中植入变量,将提示无该字段或表。如下所示:v_db 和v_table均是变量传值动态生成。create table v_table like v_db.v_table;直接执行将提示错误。【动态SQL】动态SQL示例如下(在存储过程中使用):CREATE PROCEDURE `proc_co
预处理语句
佳颖的专栏
04-15 1183
7.2.2  预处理语句 从JDBC API可以看到,PreparedStatement扩展自Statement,PreparedStatement是用于执行预编译的SQL语句,在提高性能方面有很多优点。下面以PreparedStatement举个例子,保存为TestPrepStmt.java。 例7-5  PreparedStatement预处理语句。 import java.sq
SQLSQL注入问题及预执行语句
梁兴龙的博客
11-14 721
【这是一个假标题】 今天看到了一个有趣的小知识,关于sql注入问题及欲执行语句的用处,在这里分享给大家。–请看下面的一段代码,在没有发明 PrepareStatement 之前,模拟登陆注册。public class Test{ main(...){ Scanner reader=new Scanner(System.in); syso(&quot;请输入账号:&quot;);
什么是预处理?防SQL注入的原理?使用预处理防止被恶意注入
Jin_Xiang123的博客
11-29 2039
⭐ 前言 ⭐本篇文章主要介绍什么是预处理?防sql注入的原理?使用预处理防止SQL被恶意注入简单知识以及部分理论知识 SQL注入是指攻击者通过在Web应用程序中注入恶意SQL代码,从而导致数据库执行恶意的SQL语句。为了防止SQL注入,可以采用以下原理: 在以上示例中,使用了 ' 任意值 ' or '1'='1' 的方法恶意注入了SQL语句,恶意用户输入 '任意值' or '1'='1',进行对SQL语句注入 从而影响最终结果。
sql 使用预处理语句怎么使用
04-24
你可以通过以下步骤来使用 SQL 预处理语句: 1. 建立数据库连接。 2. 使用 prepare() 预处理方法将 SQL 语句传递给数据库。 3. 通过绑定变量的方式将变量与 SQL 语句绑定。 4. 执行预处理语句并传递变量值。 5. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值