php传参字段名冒号,PDO准备语句 - 用于参数名称的冒号是什么?

最新推荐文章于 2022-08-29 15:09:25 发布
最新推荐文章于 2022-08-29 15:09:25 发布
阅读量332 收藏
点赞数
文章标签: php传参字段名冒号

不,你没有遗漏任何东西。您必须使用冒号(:),在SQL字符串指定的占位符,但执行该语句或绑定参数时,它们不是必需的。PHP将推断出:是否在该上下文中将其保留(请参阅下面的第二部分,以获取PHP解释器本身的源代码的解释和证明)。

什么工作(你可以用PHP做什么)

换句话说,这是可以接受的:

$insertRecord = $conn->prepare('INSERT INTO Table1 (column1, column2)

VALUES(:column1, :column2)');

//         ^         ^  note the colons

但事实并非如此,因为占位符名称不明确,看起来像列(或其他)名称:

$insertRecord = $conn->prepare('INSERT INTO Table1 (column1, column2)

VALUES(column1, column2)');

//         ^        ^  no colons

相比之下,使用PDOStatement::bindParam()或时,冒号是可选的PDOStatement::execute()。这两项工作基本相同:*

$insertRecord->execute(array(

':column1' => $column1,

':column2' => $column2

));

// or

$insertRecord->execute(array(

'column1' => $column1,

'column2' => $column2

));

为什么会这样(探索PHP源代码)

为什么这样工作?那么,为此我们必须进入PHP本身的c语言源代码。为了保持最新,我使用了github(PHP 7)的最新源代码,但同样的基本分析适用于早期版本。

PHP语言期望命名占位符在SQL中具有冒号,如文档中所述。并且文档用于PDOStatement::bindParam()指示将参数:name绑定到占位符时参数必须是表单。但由于接下来的原因,这并不是真的。

当绑定参数或执行语句时,不存在歧义的风险,因为SQL占位符必须只有一个冒号。这意味着PHP解释器可以做出一个关键的假设并安全地这样做。如果您查看pdo_sql_parser.cPHP源代码,特别是第90行,您可以在占位符中看到有效的字符列表,即字母数字(数字和字母),下划线和冒号。继该文件中的代码的逻辑是有点棘手,很难在这里说明一下-我伤心地说,它涉及到很多的goto报表,但短期的版本是,只有第一个字符可以是一个冒号。

简单地说,:name就是在SQL的有效占位,但name并::name没有。

这意味着解析器可以安全地假设到达bindParam()或者execute()指定的参数name应该是真的:name。也就是说,它可以:在参数名称的其余部分之前添加一个。事实上,pdo_stmt.c从第362行开始,这正是它的作用:

if (param->name) {

if (is_param && param->name[0] != ':') {

char *temp = emalloc(++param->namelen + 1);

temp[0] = ':';

memmove(temp+1, param->name, param->namelen);

param->name = temp;

} else {

param->name = estrndup(param->name, param->namelen);

}

}

它的作用是略微简化的伪代码:

if the parameter has a name then

if the parameter name does not start with ':' then

allocate a new string, 1 character larger than the current name

add ':' at the start of that string

copy over the rest of the name to the new string

replace the old string with the new string

else

call estrndup, which basically just copies the string as-is (see https://github.com/php/php-src/blob/1c295d4a9ac78fcc2f77d6695987598bb7abcb83/Zend/zend_alloc.h#L173)

因此,name(在bindParam()或的上下文中execute())变得:name与我们的SQL匹配,PDO非常高兴。

最佳实践

从技术上讲,无论哪种方式都有效,所以你可以说这是一个偏好问题。但是,如果不是很明显,那就没有详细记录。我不得不深入研究源代码来解决这个问题,理论上它可以在任何时候改变。为了在IDE中保持一致性,可读性和更轻松的搜索,请使用冒号。

*我说他们的工作“基本上”相同,因为上面的c代码对于放弃冒号施加了极小的惩罚。它必须分配更多内存,构建一个新字符串,并替换旧字符串。也就是说,这个名字的惩罚在纳秒范围内:name。如果你很容易给你的参数很长(比如64 Kb)并且你有很多它们,那么它可能会变得可测量,在这种情况下你会遇到其他问题......无论如何,当冒号添加时,这些都不重要读取和解析文件的时间极短,因此这两个极小的惩罚甚至可能会被抵消。如果你担心这个级别的表现,那么你在晚上保持清醒时会遇到比我们其他人更冷的问题。此外,您应该在纯汇编程序中构建Web应用程序。 sarcasm>

老滚的笼中鼠
关注
PHP-PDO-MySQL-Class:一个类似于Python MySQLdbPHP MySQL PDO类,当使用“ WHERE IN”语句时,它支持迭代器和参数绑定
02-03
PHP-PDO-MySQL类 一个类似于Python MySQLdbPHP MySQL PDO类,当使用“ WHERE IN”语句时,它支持迭代器和参数绑定。安装将src/下的文件复制到您的程序中要么composer require lincanbin/php-pdo-mysql-class初始化&...
php 参数冒号,phpPDO准备语句用于参数名称中的冒号是什么?
weixin_42502643的博客
03-21 181
在使用PDO时,我已经看到许多使用冒号(:)在命名参数前面的文章,还有一些不使用冒号的文件.我只是尽快不使用冒号,只因为它是一个更少的按键,稍微更容易阅读.对我来说似乎工作正常,但是如果在使用冒号时遇到一些重要的事情,我很好奇,例如,这个工作很好:function insertRecord ($conn, $column1, $comumn2) {try {$insertRecord = $con...
前端学PHPPDO预处理语句
weixin_34109408的博客
12-05 344
前面的话   本来要把预处理语句前面的基础操作写成一篇的。但是,由于博客园的限制,可能是因为长度超出,保存时总是报错,于是再开一篇。另一方面,相较于前面的exec()和query()语句来说,预处理语句更加常用   定义   在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了一种名为预处理语句...
PDO的预处理查询前的冒号什么意思
12-31 353
查询语句中有一个:username   然后在执行execute()中又用数组的方式为它传参,这是什么形式? 还有就是冒号加一个username是execute的专用占位符方式还是什么?不太懂欸。。。
pdo通过预处理语句防止sql注入
云影杳杳的博客
11-25 4586
本文会通过一个简单的登录验证来演示通过预处理语句防注入。 数据库:test; 创建表:CREATE TABLE USER( id INT UNSIGNED AUTO_INCREMENT KEY, username VARCHAR(20) NOT NULL, password CHAR(20) NOT NULL, email CHAR(20) NOT NULL);向表中插入一条数据:INS
PHPPDO预处理语句与存储过程
10-17
PDO预处理语句与存储过程是PHP编程语言中用于数据库交互的重要技术。本文将介绍这两种技术的概念、使用方法以及它们在数据库编程中带来的好处。 首先,预处理语句(prepared statements)是SQL数据库中一种编译过的...
php-pdo-sqlsrv-5.9.0-8.0-nts-vs16-x64.zip
最新发布
04-03
标题 "php-pdo-sqlsrv-5.9.0-8.0-nts-vs16-x64.zip" 暗示了这是一个针对PHP的扩展,用于连接到SQL Server数据库。这个扩展是PDOPHP Data Objects)的一个实现,它提供了一个统一的API来访问不同的数据库管理系统,...
php-pdo-5.4.16-48.el7.x86_64.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
php使用PDO执行SQL语句的方法分析
10-20
使用prepare()方法准备一个SQL语句,然后通过execute()方法执行,可以传递参数以防止SQL注入。 ```php $stmt = $pdo->prepare("INSERT INTO users (username, password) VALUES (?, ?)"); $stmt->execute(['admin',...
Vue 中父级给子级传参冒号和不加冒号的区别
第二世界
04-11 1997
PHP冒号加引号,冒号的五种用法 冒号引号的三种用法
weixin_42552261的博客
03-26 830
冒号的五种用法一般情况下用在提示语的后面或前面,表示提示下文或总括上文。有五种情况是一定要用冒号的。书信、发言稿开头的称呼语后面,有引起他人注意的意思;用在某某说之后,表示下面是引用的话。这种用法很常见,就不举例了。用在总括的话后面,表示后面有分项说明或表示冒号前面的话引起后面的话。例如:学生大致可以分为三类:踏实学习的,聪明但不认真的,既不聪明又不认真的。纺线有几种姿势:可以坐着破蒲团纺,可以坐...
php中的冒号应用,php中双冒号的应用
weixin_34698121的博客
03-13 234
php类代码中常看到"::"的操作符,这个是作用域限定操作符,是用一个双冒号"::"表示,它用来置顶类中不同作用域的级别。左边是作用域右边是访问作用域的成员。在php中定义的作用域有self和parent两种(在php6中提供了static作用域)。self:表示当前类的作用域,与this不同的是它不表示类的某个特定实例,在类之外的代码中不能使用self,而且它不能识别自己在继承中层次的位置。也就...
php中的占位符
weixin_33736048的博客
07-20 1554
1、?这种形式传值,注意是数组! 2、:name的形式。 转载于:https://www.cnblogs.com/h-g-f-s123/p/5689976.html
PHP中函数名后面加上冒号
weixin_54143609的博客
08-29 981
strict_types的值为1表示严格类型校验模式,作用于函数调用和返回语句;0表示弱类型校验模式。在github中看源码的时候发现了如上的写法,这是php7.2新加的特性。表示声明该函数返回值为string类型。...
命名实参和可选实参(冒号用法)
chenweicode的博客
04-28 502
http://blog.useasp.net/archive/2012/04/03/the-colon-after-parameter-the-named-and-optional-arguments.aspx
Thinkphp 模版中传递的是对象,使用:冒号
A11085013的专栏
08-06 4836
模版中传递的是对象,使用:m冒号 {变量:函数名]date='Y-m-d H-i-s',###}###是传递过来的变量 模版注释 {/* */} {//} 执行函数 {:函数名} 如{:time()}
"PHP-PDO应用详解:PHP 5新特性解读
此外,PDO还支持事务处理、预处理语句、绑定参数等高级功能,让我们的数据库操作更加灵活和安全。 总的来说,PDO的出现改变了传统的数据库操作方式,让我们能够更加高效地操作数据库,并且提供了更好的性能和安全性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值