SQL预处理语句(Prepared Statements)

最新推荐文章于 2024-09-09 08:42:59 发布
最新推荐文章于 2024-09-09 08:42:59 发布
阅读量1.3w 收藏 3
点赞数
分类专栏: PHP 文章标签: sql insert 数据库 优化 user 框架

SQL预处理语句(Prepared Statements)

许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:

查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重复执行许多次有不同参数的但结构相同的查询,这个过程会占用大量的时间,使得你的应用变慢。通过使用一个预处理语句你就可以避免重复分析、编译、优化的环节。简单来说,预处理语句使用更少的资源,执行速度也就更快。

传给预处理语句的参数不需要使用引号,底层驱动会为你处理这个。如果你的应用独占地使用预处理语句,你就可以确信没有SQL注入会发生。(然而,如果你仍然在用基于不受信任的输入来构建查询的其他部分,这仍然是具有风险的)。

正因为预处理语句是如此有用,它成了PDO唯一为不支持此特性的数据库提供的模拟实现。这使你可以使用统一的数据访问规范而不必关心数据库本身是否具备此特性。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
/*
使用预处理语句重复插入数据(1)
此示例演示了一个通过向命名占位符代入一个name和一个value值来执行的INSERT查询
*/
$stmt= $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value); //插入一行
$name= 'one';
$value= 1;
$stmt->execute();//使用不同的值插入另一行
$name= 'two';
$value= 2;
$stmt->execute();
/*
使用预处理语句重复插入数据(2)
此示例演示了一个通过向用?表示的占位符代入一个name和一个value值来执行的INSERT查询
*/
$stmt= $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value); // 插入一行
$name= 'one';
$value= 1;
$stmt->execute(); // 使用不同的值插入另一行
$name= 'two';
$value= 2;
$stmt->execute();
/*
通过预处理语句获取数据
此示例演示使用从表单获取的数据为关键值来执行查询获取数据。用户的输入会被自动添加引号,所以这儿不存在SQL注入攻击的危险。
*/
$stmt= $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
    if($stmt->execute(array($_GET['name']))) {
        while($row= $stmt->fetch()) {
        print_r($row);
    }
}

其实主流的PHP框架都支持Prepared Statements,而且要简单很多。下面是ThinkPHP模型支持的例子:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
/*
实例化User模型
*/
$model= D('User');
/*
定义预处理传入数据
*/
$data['username'] = 'deeka';
$data['password'] = '123456';
/*
数据预处理
*/
if($model->create($data)){
    $model->add();
}
that3
关注
专栏目录
预处理SQL语句
weixin_46834417的博客
08-19 3106
所谓预处理指的就是将SQL语句中的关键字(如 SELECT…FROM…)与数据(如字段名,数据表名)分离,使得针对不同数据的相同SQL语句的执行开销更小,同时又可防止SQL注入的攻击 **传统方式的SQL语句,**在执行时每条SQL都需要经过分析丶编译和优化的步骤。 预处理方式则是利用客户端与服务器的二进制协议,预先编译一次客户端发送的SQL语句模板,然后再根据客户端发送给服务器相应数量的变量进行执行操作,并旦针对一条SQL语句模板可以执行多次,还无需考虑数据中含有未转义的SQI引号和分隔符字符. 预处理
MySQL快查-预处理SQL语句
cracal的博客
10-21 757
MySQL快查 因为在日常工作学习中经常忘记mysql的一些语句、关键字、操作等内容,所以最近抽取时间写了以下关于mysql相关内容。相当于一本字典吧 重置mysql密码 数据类型 运算符 常用函数 数据完整性 数据库的基本操作 对表本身的操作 对表中数据的操作 子查询 多表连接 索引 视图 本文 预处理SQL语句MySQL快查创建预处理语句执行预处理语句释放预处理语句 MySQL数据库中的prepare、execute、deallocate统称为预处理语句。 创建预处理语句 prepare stmt
SQL预处理语句
h1008685的博客
05-27 444
定义了一个SQLINSERT语句,目的是将数据插入到login.login_tables表中使用prepare()方法准备SQL语句,使其准备好接受参数。bind_param("si", $name, $passwd);方法绑定了两个参数调用execute()方法执行预处理语句。通过var_dump($end);打印execute()方法的返回值,以验证插入操作是否成功。最后,函数尝试关闭预处理语句数据库连接
MySQL预处理语句(PREPARE)和动态SQL
六月闻君
08-09 363
通过存储过程接收一个字符串形式的SQL条件(where后的条件),并将其直接用于SELECT语句的WHERE子句中,使用预处理语句(PREPARE)和动态SQL来实现这一功能。 通过存储过程,将处理结果返回。
预处理sql语句
grace_fang的博客
10-12 1867
<?php //执行多条sql语句 header('content-type:text/html,charset=utf8'); $mysqli=new mysqli('localhost','root','','test'); if($mysqli->errno) { die('Connect Error'.$mysqli->error); } $mysqli->set_charset('u
java操作sql server数据中,关于PreparedStatement数据注入问题
qq_28088659的博客
12-03 588
问题描述: 在Java操作SQL Server数据库时,会使用PreparedStatement数据注入方式避免“万能密码”的产生以及提高代码执行效率。例如经常使用如下方式: requery("select * from stu where name = ? and address = ?", new String[]{ "liu", "wo"}); 或 requery("sel
mysql 预处理语句报错_MySQLSQL预处理(Prepared)
weixin_35578185的博客
02-02 417
Prepared SQL StatementSQL的执行、预编译处理语法、注意点一、SQL 语句的执行处理1、即时 SQL一条 SQL 在 DB 接收到最终执行完毕返回,大致的过程如下:1. 词法和语义解析;2. 优化 SQL 语句,制定执行计划;3. 执行并返回结果;如上,一条 SQL 直接是走流程处理,一次编译,单次运行,此类普通语句被称作 Immediate Statements (即时 ...
mysql 预处理语句_预处理语句
weixin_35871519的博客
02-07 1618
MySQL 8.0支持服务器端预处理语句。这种支持利用了有效的客户端/服务器二进制协议。对参数值使用带占位符的预处理语句具有以下好处:每次执行语句时解析语句的开销都较小。通常,数据库应用程序处理大量几乎相同的语句,仅对子句中的文字或变量值进行更改,例如WHERE查询和删除,SET更新和VALUES插入。防止SQL注入攻击。参数值可以包含未转义的SQL引号和定界符。应用程序中的预处理语句您可以通过...
PHP的PDO预处理语句与存储过程
10-17
首先,预处理语句(prepared statements)是SQL数据库中一种编译过的查询模板,它们允许将SQL语句的结构与数据分离。在预处理语句中,占位符(如问号“?”或命名占位符如“:name”)被用于代表那些将会在执行时插入...
PHP MySQL 预处理语句:读取数据:Where子句.md
06-13
在 PHP 中使用 MySQL 预处理语句(Prepared Statements)是一种非常推荐的方法来执行数据库操作,特别是在涉及到用户输入的情况下。预处理语句通过将数据与 SQL 查询语句分离的方式帮助防止 SQL 注入攻击,这是...
SQL注入防御之三——SQL语句预处理(PHP)
心有猛虎,细嗅蔷薇!
08-26 8179
这篇文章将会告诉你,PHP怎么使用SQL语句预处理预处理语句有什么优点,以及分析预处理语句如何防止SQL注入
MySQL预处理语句prepare、execute与deallocate的使用教程
01-21
前言 MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,我习惯称其为【预处理语句】,其用法十分简单,下面话不多说,来一起看看详细的介绍吧。 示例代码 PREPARE stmt_name FROM preparable_stmt EXECUTE stmt_name [USING @var_name [, @var_name] ...] - {DEALLOCATE | DROP} PREPARE stmt_name 举个栗子: mysql> PREPARE pr1 FROM 'SELECT ?+?'; Query OK, 0 r
java sql预处理_SQL语句预处理
weixin_36207483的博客
02-16 1154
PDO (Php Date Object)PHP数据对象PDO是PHP数据对象(PHP Data Object)的缩写。PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口;PDO作用是统一各种数据库的访问接口,PDO让跨数据库的使用更具亲和力;有了PDO,我们不必再使用mysqli_*函数、oci_*函数或者mssql_*函数,也不必再为它们封装数据库操作类,只需要使用PDO接口中的方法...
预处理语句
佳颖的专栏
04-15 1126
7.2.2  预处理语句 从JDBC API可以看到,PreparedStatement扩展自Statement,PreparedStatement是用于执行预编译的SQL语句,在提高性能方面有很多优点。下面以PreparedStatement举个例子,保存为TestPrepStmt.java。 例7-5  PreparedStatement预处理语句。 import java.sq
利用preparestatement完成INSERT,DELECT,UPDATE
qq_35677589的博客
01-07 472
mysql性能优化-预处理语句(Prepared Statements)
Flying_Fish_roe的博客
09-09 1292
预处理语句(Prepared Statements)是一种将 SQL 查询与其参数分离的机制。与传统的查询方式不同,预处理语句首先会将 SQL 查询进行编译、优化,并将其缓存,随后可以多次执行该查询,而不必每次都重新编译和解析 SQL 语句。每次执行时,预处理语句只需要提供不同的参数即可,这使得它在需要执行多次相同 SQL 查询的场景中具有明显的性能优势。准备阶段:MySQLSQL 查询语句进行编译和解析,并生成执行计划。执行阶段:传递参数,执行已编译的 SQL 语句,获取结果。
使用PrepareStatement实现批量插入操作
有上进心的阿龙
12-08 1083
使用PrepareStatement实现批量插入操作
PreparedStatement
Han_Lin-的博客
10-14 878
/** * 定义一个数据库连接对象,这里的引用必须是 java.sql 包中的。 * 因为只有这个包中才代表了 Java 提供的 JDBC 接口,这只是一套规范,具体实现则由数据库驱动来提供。 */ Connection conn = null; /** * 如果使用Statement,那么就必须在SQL语句中,实际地去嵌入值,比如之前的insert语句中values必须使用硬编码 ...
使用prepareStatement来实现对数据库的插入操作
有上进心的阿龙
12-05 1894
1、使用prepareStatement 2、数据库的字段中有String和Date类型 3、使用Properties来读取文件中的key-value 4、占位符?的使用 代码: package test_video_kang.test01; import org.junit.Test; import java.io.IOException; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverMan
如何在SQL语句中正确插入文件路径信息?
最新发布
09-10
SQL语句中插入文件路径信息通常涉及到字符串的插入,因为路径信息本质上是一个字符串。为了防止SQL注入攻击,推荐使用参数化查询或预处理语句(Prepared Statements)。以下是一个插入文件路径信息的示例: 假设我们有一个名为`files`的表,其中有一个名为`path`的字段,我们想要插入文件路径`C:/Documents/myfile.txt`到这个表中。 1. 使用参数化查询(以MySQL为例): ```sql INSERT INTO files (path) VALUES (?); ``` 在执行这个语句时,你需要提供一个实际的文件路径作为参数,这通常在应用程序代码中通过使用数据库驱动的API来完成。例如,在Python中使用MySQL Connector时,你可以这样做: ```python import mysql.connector # 连接数据库 conn = mysql.connector.connect(user='username', password='password', host='127.0.0.1', database='database') cursor = conn.cursor() # 准备SQL语句和参数 file_path = 'C:/Documents/myfile.txt' query = "INSERT INTO files (path) VALUES (%s)" cursor.execute(query, (file_path,)) # 提交事务 conn.commit() # 关闭连接 cursor.close() conn.close() ``` 2. 使用预处理语句(以SQL Server为例): ```sql EXEC sp_executesql N'INSERT INTO files (path) VALUES (@p0);', N'@p0 nvarchar(max)', @p0 = N'C:/Documents/myfile.txt'; ``` 在这种情况下,`@p0`是参数的占位符,`N'@p0 nvarchar(max)'`定义了参数的类型,`@p0 = N'C:/Documents/myfile.txt'`则是将实际的文件路径值赋给参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值