yii2.0--数据库操作--参数绑定

最新推荐文章于 2021-01-19 07:27:42 发布
最新推荐文章于 2021-01-19 07:27:42 发布
阅读量1.5k 收藏
点赞数
分类专栏: Yii2.0
原文链接:https://www.yiichina.com/doc/guide/2.0/db-dao
版权

参数绑定

当使用带参数的 SQL 来创建数据库命令时, 你几乎总是应该使用绑定参数的方法来防止 SQL 注入攻击,例如:

$post = Yii::$app->db->createCommand('SELECT * FROM post WHERE id=:id AND status=:status')
           ->bindValue(':id', $_GET['id'])
           ->bindValue(':status', 1)
           ->queryOne();

绑定参数的方法:

$params = [':id' => $_GET['id'], ':status' => 1];

$post = Yii::$app->db->createCommand('SELECT * FROM post WHERE id=:id AND status=:status')
           ->bindValues($params)
           ->queryOne();
           
$post = Yii::$app->db->createCommand('SELECT * FROM post WHERE id=:id AND status=:status', $params)
           ->queryOne();

绑定参数是通过 预处理语句 实现的。 除了防止 SQL 注入攻击,它也可以通过一次预处理 SQL 语句, 使用不同参数多次执行,来提升性能。

$command = Yii::$app->db->createCommand('SELECT * FROM post WHERE id=:id');

$post1 = $command->bindValue(':id', 1)->queryOne();
$post2 = $command->bindValue(':id', 2)->queryOne();

因为 bindParam() 支持通过引用来绑定参数, 上述代码也可以像下面这样写:

$command = Yii::$app->db->createCommand('SELECT * FROM post WHERE id=:id')
              ->bindParam(':id', $id);

$id = 1;
$post1 = $command->queryOne();

$id = 2;
$post2 = $command->queryOne();

请注意,在执行语句前你将占位符绑定到 $id 变量, 然后在之后的每次执行前改变变量的值(这通常是用循环来完成的)。

 

 

人生如初见_张默
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bindParam和bindValue的区别以及在Yii2中的使用详解
01-21
bindParam() 和 bindValue() 非常相似。唯一的区别就是前者使用一个 PHP 变量参数, 而后者使用一个值。对于那些内存中的大数据块参数,处于性能的考虑,应优先使用前者。 根据id查询一条数据,并对id进行过滤: $id = 1; $result = Yii::$app->db->createCommand(select * from product where id=:id)->bindParam(:id,$id,\PDO::PARAM_INT)->queryAll(); $result = Yii::$app->db->createCommand(se
yii2.0的use yii\db\Query;是干什么的?底层原理是什么?
长风破浪会有时的博客
03-24 115
会使用 PDO 对象与数据库进行交互。该类会自动参数,以防止 SQL 注入攻击。类,可以在不直接编写 SQL 语句的情况下构建复杂的查询,同时保持良好的性能和安全性。底层原理是该类封装了数据库查询的细节,包括 SQL 语句的构建和参数。是 Yii2.0中用于构建和执行 SQL 查询的类。还支持各种数据库的特性,如分页、事务等。方法时,返回的是一条记录;方法时,返回的是多条记录的数组。是 Yii2.0中用来导入。
yii2.0的与数据库交互总结
alashan007的博客
01-15 325
1.原生的语句(需要加参数防止sql注入) a.查 $post = Yii::$app->db->createCommand('SELECT * FROM post WHERE id=:id AND status=:status') ->bindValue(':id', $_GET['id']) ->bindValue(':status', 1) ->quer
yii2 模型中set_NET Core WEB API接口参数模型
weixin_39993322的博客
12-01 91
.NET Core WEB API模型方式有以下表格中的几种:特性源[FromHeader]请求标头[FromQuery]请求查询字符串参数[FromForm]请求正文中的表单数据[FromBody]请求正文[FromRoute]当前请求中的路由[FromServices]作为操作参数插入的请求服务FromHeader(请求标头)顾名思义就是从Http的Request Headers:中获...
yii2.0--执行非查询语句
张默的博客
08-06 566
对于那些不取回数据的语句, 你应该调用的是 yii\db\Command::execute() 方法。例如, Yii::$app->db->createCommand('UPDATE post SET status=1 WHERE id=1') ->execute(); yii\db\Command::execute() 方法返回执行 SQL 所影响到的行数。 对...
yii2 如何使用数据库(一)之使用createCommand()
徐小鹏的博客
11-12 9101
yii如何使用数据库 Yii如何链接数据库 查询数据 利用sql语句查询yiidbCommand 优点 缺点 用法 yii如何使用数据库Yii通过数据库访问对象(Database Access Objects,简称DAO)来使用数据库。DAO是建立在 PDO 之上的,一套面向对象的方式来访问数据库的API。接下来,我们从如何连接数据库,如何查询数据这些方面来学习DAO。Yii如何链接数据库 链接数据
yii2 mysql where in_yii2.0 两表联查where条件用in 的时候,怎么使用bindParam参数...
weixin_36087586的博客
01-19 546
代码如下: public function test(){$a = array(1,2,3,4,5);$uid = implode(',', $a);$sql = "SELECT A.uid,B.id,B.state FROM ALEFT JOIN B ON A.id=B.idWHERE A.uid in ($uid)";$cmd =Self::getDb()->createCommand(...
yii2-giiant:类固醇的Yii 2框架代码生成器Gii
05-24
yii2-giiant ...可以从模型类名称中删除表前缀(不Yii 2.0中的db连接设置) CRUD生成器 提供程序队列的输入,属性,列和关系自义 回调提供程序通过依赖项注入为输入,属性和列注入任何类型的
Yii1-study:学习相关
06-18
Yii1 提供了 ActiveRecord 模式,将数据库操作封装在对象中,使得数据库操作更加面向对象,易于理解和使用。它支持多种数据库,包括 MySQL、PostgreSQL、SQLite 等。 ### 5. 表单和验证 Yii1 内置了强大的表单处理...
angularjs-yii2-part-1-routing
05-24
Yii2的MVC设计模式与AngularJS相辅相成,允许开发者在前端使用Angular处理动态交互,而后端则通过Yii2处理业务逻辑和数据库操作。在本教程中,你可能将学习如何配置Yii2的RESTful API来为AngularJS提供数据。 在...
yii-rest-rbac2.0:这是yii-rest-rbac 2.0版,所有的交互都是api形式,最近忙于项目,以后会补充二进制分析和原理
03-23
Yii Rest Rbac 2.0 是一个基于 Yii 框架构建的 RESTful API 访问控制组件。这个版本着重于提供API接口的形式来进行权限管理,适用于开发分布式、前后端分离的应用程序。在这个版本中,所有操作都是通过HTTP请求与API...
yii-basic-app-2.0.7.tgz
03-02
5. **数据库支持**:Yii支持多种数据库系统,包括MySQL、PostgreSQL、SQLite等,并提供ActiveRecord ORM(对象关系映射),使得数据库操作更加便捷。 6. **自动化工作流**:Yii的Gii工具可以自动生成代码,如模型、...
bindParam和bindValue的区别以及在Yii2中的使用
一杯苦恰啡的博客
06-28 4854
bindParam() 和 bindValue() 非常相似。唯一的区别就是前者使用一个 PHP 变量参数, 而后者使用一个值。对于那些内存中的大数据块参数,处于性能的考虑,应优先使用前者。 根据id查询一条数据,并对id进行过滤:$id = 1; $result = Yii::$app->db->createCommand("select * from product where id=:id
54. yii 动作参数
enlyhua的专栏
06-16 822
protected function runWithParamsInternal($object, $method, $params) { $ps=array(); foreach($method->getParameters() as $i=>$param) { $name=$param->getName();
Yii2 参数配置使用
只有不断总结的人才能不断进步
07-21 3695
在用框架开发项目时,很多通用的方便修改的,会写出配置文件。如 七牛云上传的ak,sk,domain,bucket,zone,微信开发的appid, appserect等。 laravel中配置文件在config目录写,可以任意创建获取文件,通过config方法获取。在yii2 中主要是在config params.php 和params-local.php文件中。 1.参数格式 <...
Yii createCommand CURD操作
zhaoliang831214的专栏
06-23 509
本文用作工作记录,也许有人会问为什么不用 Yii 的 Model 去操作 DB,原因很简单,Yii 的 Model 写法上是方便了很多,但是会执行多余的 SQL,打开 Yii 的执行 log 就会发现。所以为了效率,为了 DB 服务器的性能考虑,还是使用 createCommand 的好。 insert [php] view plaincopy
分布式电网动态电压恢复器模拟装置设计与实现.doc
最新发布
07-06
本装置采用DC-AC及AC-DC-AC双重结构,前级采用功率因数校正(PFC)电路完成AC-DC变换,改善输入端电网电能质量。后级采用单相全桥逆变加变压器输出的拓扑结构,输出功率50W。整个系统以TI公司的浮点数字信号控制器TMS320F28335为控制电路核心,采用规则采样法和DSP片内ePWM模块功能实现SPWM波,采用DSP片内12位A/D对各模拟信号进行采集检测,简化了系统设计和成本。本装置具有良好的数字显示功能,采用CPLD自行设计驱动的4.3英寸彩色液晶TFT-LCD非常直观地完成了输出信号波形、频谱特性的在线实时显示,以及输入电压、电流、功率,输出电压、电流、功率,效率,频率,相位差,失真度参数的正确显示。本装置具有开机自检、输入电压欠压及输出过流保护,在过流、欠压故障排除后能自动恢复。
yii2-admin 获取当前登录用户角色
05-13
要获取当前登录用户的角色,需要使用Yii2中的身份验证和授权组件。首先,确保您已经正确配置了身份验证和授权组件。 然后,在您的控制器或视图中,您可以使用以下代码获取当前登录用户的角色: ```php use Yii; $...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值