PDO预处理

最新推荐文章于 2023-05-14 08:32:34 发布
最新推荐文章于 2023-05-14 08:32:34 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: PHP 文章标签: 数据库 pdo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sulei19900525/article/details/76783637
版权

这篇来说一下PDO预处理。

原理

本质上就是编译一次,多次执行

PDO预处理语句(prepared statement)机制,是将一条SQL命令向数据库服务器发送一次(此时发送的参数不是实参,是占位符),以后参数发生变化,数据库服务器只需对命令的结构做一次分析就够了。

$stmt = $conn->prepare("insert into categorylink (did,cid) values (:did,:cid)");  准备语句

foreach ($row as $key => $value) {
    $arr = array(
        ':did' => intval($value['id']),
        ':cid' => $cid
    );  参数数组

    $result = $stmt->execute($arr);  执行语句
}

上面这是数组传参的方法,我一般常用这种方法。
除了使用数组来传递参数,还可以直接使用绑定参数的方法。

$stmt = $conn->prepare("insert into categorylink (did,cid) values (:did,:cid)");  命名参数
$stmt = $conn->prepare("insert into categorylink (did,cid) values (?,?)");  ?参数

$stmt->bindParam(":did",'121');    
$stmt->bindParam(":cid",'232');    绑定命名参数

$stmt->bindParam("1",'121');
$stmt->bindParam("2",'232');    绑定?参数

$stmt->execute();  执行语句
安德烈_瓦夏
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PDO预处理
qq_25285531的博客
05-06 367
PDO中的基本的原理和步骤和MySQL中的预处理都是一样的,只不过就是把MySQL中的预处理所有命令行的语法封装成了PDO对象的几个公开的方法而已! 1.发送预处理语句 此时,我们需要调用pdo对象的prepare方法,得到一个PDOStatement结果对象! 2.绑定参数 调用PDOStatement对象中的bindParam方法: 3.执行预处理语句 调用PDOStatement对象中的e...
PHP中的PDO扩展如何使用预处理语句来防止SQL注入攻击?有哪些安全实践建议?
最新发布
Marthaondon的博客
04-15 1182
然后,我们使用prepare()方法准备了一个预处理语句,该语句中的:name和:email是占位符,我们将在执行语句之前为它们绑定具体的值。更重要的是,PDO支持预处理语句,这是一种在执行时将数据与SQL语句分开的方法,从而有效地防止SQL注入攻击。预处理语句的工作原理是,先将SQL语句模板发送到数据库服务器进行预编译,然后在执行时再绑定具体的参数值。这样,即使参数值中包含可能破坏SQL语句结构的特殊字符(如单引号),也不会影响预编译的SQL语句模板,从而有效地防止了SQL注入。// 准备预处理语句。
PDO和mysqli扩展都支持预处理语句,是干什么的?底层原理是什么?
长风破浪会有时的博客
05-14 185
首先,预处理语句会将 SQL 语句编译成一个查询计划,这个计划会被缓存,如果同样的语句再次被执行,就可以直接使用缓存中的计划,避免了重新编译 SQL 语句的开销,提高了查询性能。在执行查询时,预处理语句会将绑定的参数和 SQL 语句一起发送给数据库服务器,数据库服务器会使用缓存中的查询计划来执行查询,并将结果返回给 PHP。方法对 SQL 语句进行预处理,这个过程会将 SQL 语句编译成一个查询计划,并返回一个预处理对象。总之,使用预处理语句可以提高查询性能和安全性,是 PHP 中常用的数据库操作技术。
PDO中的预处理
weixin_33946605的博客
05-06 138
PDO中的基本的原理和步骤和MySQL中的预处理都是一样的,只不过就是把MySQL中的预处理所有命令行的语法封装成了PDO对象的几个公开的方法而已! 1.发送预处理语句 此时,我们需要调用pdo对象的prepare方法,得到一个PDOStatement结果对象! 2.绑定参数 调用PDOStatement对象中的bindParam方法: 3.执行预处理语句 调用PDOStatement...
php_pdo 预处理语句详解
01-21
这篇文章主要介绍的是关于php_pdo 预处理语句,下面话不多说,我们来看看详细的内容。 一、预处理语句可以带来两大好处: 1、查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,...
PHP的PDO预处理语句与存储过程
10-17
今天小编就为大家分享一篇关于PHP的PDO预处理语句与存储过程,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
PDO预处理语句PDOStatement对象使用总结
10-25
主要介绍了PDO预处理语句PDOStatement对象使用总结,本文介绍了PDOStatement的方法及常用方法的使用例子,需要的朋友可以参考下
PHP PDO中的预处理
苦艾文艺
10-04 928
预处理语句的工作原理如下:1:预处理: (1)创建 SQL 语句模板并发送到数据库。预留的值使用参数 “?” 标记 。许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。: 注意:这里讲到SQL语句模版,什么是SQL语句模版呢?为了更好的理解SQL语句模版这
面向对象php学习笔记23:MYSQL预处理,PDO预处理,PDO预处理数据绑定
ishenjiaming的博客
07-31 391
预处理 1.mysql预处理 定义:预处理prepare,是指客户端将要执行的SQL先发送给服务器,服务器先进行编译,不执行.等客户端需要服务器端执行的时候,发送一条执行指令,让服务器再执行已经提前处理好(预处理)的SQL指令. ①预处理流程:预处理流程是相对于普通sql执行流程的,普通的是客户端与服务器端一对一一次性的服务,而预处理可能是一对一但多次的服务. ②实现...
mysql pdo 预处理_PHP PDO预处理语句详解
weixin_42526484的博客
01-27 366
在生成网页时,许多 PHP 脚本通常都会执行除参数以外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO 提供了一种名为预处理语句(prepared statement)的机制,如下图所示。图:预处理语句的机制使用预处理机制可以将整个 SQL 命令向数据库服务器发送一次,以后当参数发生变化时,数据库服务器只需对命令的结构做一次分析就够了,即编译一次,可以多次...
pdo预处理机制及自动参数绑定功能
resilient的博客
12-10 351
PDO预处理语句就是把你想要运行的sql语句编译成一种模板,然后dao可以绑定参数去处理。 它的好处是,sql语句只解析一次,可以对参数绑定一次或者多次执行,提高了性能,节约了带宽的传输。 另外可以防止sql注入。 ...
PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处
ZzzWClock的博客
10-07 492
PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处 一.PDO预处理机制在防SQL注入的作用 pdo预处理机制 防止sql注入 pdo使用 ?参数占位符 或者 命名占位符 :name 需要使用到的方法 含义 prepare() 准备一条将要执行的预处理语句 返回的是pdo statement 对象 bindParam() 绑定一个参数到指定的变量名 execute() 执行一条预处理语句 ①未
理解数据库PDO处理的理念
weixin_30307921的博客
10-10 59
做第一份工作的时候,脑海里没有数据安全性的概念,从来没有网站被黑客盯上的事情。网站用户量也不大,虽然工作繁忙,但是只要代码上了线,基本上没有出过问题。在这个期间曾经做过一些傻的事情,认为sql写的越复杂越长越牛逼,显得越有技术水平。往往将多表的查询也写成一个sql,在sql中使用表连接、使用函数处理等。这个时候代码依然在线上跑的很欢实,没有出现过问题。后来又学习了存储过程,这个也是为了提升自己的技...
PDO 简介——预处理语句和存储过程
水墨熊猫
09-28 8952
许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重
前端学PHP之PDO预处理语句
weixin_34109408的博客
12-05 334
前面的话   本来要把预处理语句和前面的基础操作写成一篇的。但是,由于博客园的限制,可能是因为长度超出,保存时总是报错,于是再开一篇。另一方面,相较于前面的exec()和query()语句来说,预处理语句更加常用   定义   在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了一种名为预处理语句...
PHP复习_PDO预处理方法的使用
测试
07-10 175
PDO预处理prepare()和execute()方法执行查询语句返回的是一个对象执行成功$res返回的是truefetch()得到查询的一条记录fetchAll()得到查询的所有记录或者fetch()和fetchAll()返回的都是二维数组(默认的是关联+索引)如果只想返回关联数组,写法如下:如果想返回的是对象,写法如下:除了这样设置,还有个方法可以直接设置返回的数组模式先声明,然后使用这样得...
php 预处理原理,PHP的PDO对象预处理的2种实现方法,实现原理详解
weixin_29473667的博客
03-16 407
PDO预处理$author = '李白';$kind = '五言绝句';$id = '5';$query = 'SELECT * FROM poetry WHERE author=? AND kind=? AND id>?';//用问号代替要预处理的值$stmt = $pdo->prepare($query);//开启预处理,将 sql 语句传入实例代码开始:$stmt-&...
PDO预处理能防止SQL注入吗
06-02
是的,PDO预处理可以有效地防止SQL注入。预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入数据作为参数传递给SQL语句,从而避免了恶意用户输入一些SQL语句,从而破坏原有的SQL语句执行逻辑的情况。PDO预处理语句会自动转义输入的特殊字符,确保输入的数据不会被解释为SQL语句的一部分。 当PDO预处理执行时,数据库会在执行SQL语句之前编译它,并在接收到实际参数值后执行该语句。这确保了SQL语句和参数值之间的完全分离,并保障了SQL语句的安全性。 因此,PDO预处理是一种能够有效防止SQL注入攻击的方法,建议在使用PDO连接数据库时,优先选择使用PDO预处理语句。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值