预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。
预处理语句的工作原理如下:
预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 “?” 标记 。例如:
INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)
数据库解析,编译,对SQL语句模板执行查询优化,并存储结果不输出。
执行:最后,将应用绑定的值传递给参数("?" 标记),数据库执行语句。应用可以多次执行语句,如果参数的值不一样。
相比于直接执行SQL语句,预处理语句有两个主要优点:
-
预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。
-
绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。
-
预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。
以下代码用的Procedural style风格:
public function exec($sql,$stmt_param=array()){
$db_lnk = mysqli_connect("localhost", "my_user", "my_password", "world");
$stmt = mysqli_prepare($db_lnk,$sql);
if ($stmt_param) {
array_unshift($stmt_param, $stmt, $this->paramtypez($stmt_param));//准备bind_param的参数,把stmt和type放在第一第二个
call_user_func_array("mysqli_stmt_bind_param",$this->arr2refer($stmt_param));//用这个解决多参数的无问题
}
if(!mysqli_stmt_execute($stmt))
{
logger::error($sql.':'.mysqli_error($db_lnk));//记录错误日志
return false;
}
//select语句返回mysqli_stmt_get_result结果
if (strpos($sql,'select')===0 || strpos($sql,'SELECT')===0) {
if($rs = mysqli_stmt_get_result($stmt)){
mysqli_stmt_close($stmt);
$data = array();
while($row = mysqli_fetch_assoc($rs)){
$data[]=$row;
}
return $data;
}else{
logger::error($sql.':'.mysqli_error($db_lnk));
return false;
}
}
return true;
}
private function arr2refer($value) {
$refs = array();
foreach ($value as $k => $v) {
$refs[$k] = &$value[$k];
}
return $refs;
}
//组合mysqli_stmt_bind_param函数 types
public function paramtypez($val)
{
$types = ''; //initial sting with types
foreach($val as $para)
{
if(is_int($para)) {
$types .= 'i'; //integer
} elseif (is_float($para)) {
$types .= 'd'; //double
} elseif (is_string($para)) {
$types .= 's'; //string
} else {
$types .= 'b'; //blob and unknown
}
}
return $types;
}
$stmt_param=array(189,'myname');
$myresult= exec('SELECT * FROM my_table WHERE `id`=? AND `name`=? ',$stmt_param);
print_r($myresult);