php mysql语句规范_PHP MySQL -处理语句

最新推荐文章于 2022-12-22 19:13:01 发布
最新推荐文章于 2022-12-22 19:13:01 发布
阅读量59 收藏
点赞数
文章标签: php mysql语句规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30670123/article/details/113265513
版权

预处理语句对于防止 MySQL 注入是非常有用的。

预处理语句及绑定参数

预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。

预处理语句的工作原理如下:

预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如:

INSERT INTO MyGuests(firstname,lastname,email)VALUES(?,?,?)

数据库解析,编译,对SQL语句模板执行查询优化,并存储结果不输出。

执行:最后,将应用绑定的值传递给参数("?" 标记),数据库执行语句。应用可以多次执行语句,如果参数的值不一样。

相比于直接执行SQL语句,预处理语句有两个主要优点:

预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。

绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。

预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。

MySQLi 预处理语句

以下实例在 MySQLi 中使用了预处理语句,并绑定了相应的参数:

实例 (MySQLi 使用预处理语句)

$conn = new mysqli($servername, $username, $password, $dbname);//检测连接

if ($conn->connect_error) {die("连接失败: " . $conn->connect_error);

}//预处理及绑定

$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");$stmt->bind_param("sss", $firstname, $lastname, $email);//设置参数并执行

$firstname = "John";$lastname = "Doe";$email = "john@example.com";$stmt->execute();$firstname = "Mary";$lastname = "Moe";$email = "mary@example.com";$stmt->execute();$firstname = "Julie";$lastname = "Dooley";$email = "julie@example.com";$stmt->execute();echo "新记录插入成功";$stmt->close();$conn->close();?>

解析以下实例的每行代码:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"

在 SQL 语句中,我们使用了问号 (?),在此我们可以将问号替换为整型,字符串,双精度浮点型和布尔值。

接下来,让我们来看下 bind_param() 函数:

$stmt->bind_param("sss", $firstname, $lastname, $email);

该函数绑定了 SQL 的参数,且告诉数据库参数的值。 "sss" 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字符串。

参数有以下四种类型:

i - integer(整型)

d - double(双精度浮点型)

s - string(字符串)

b - BLOB(binary large object:二进制大对象)

每个参数都需要指定类型。

通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。

lamp.jpg

注意: 如果你想插入其他数据(用户输入),对数据的验证是非常重要的。

PDO 中的预处理语句

以下实例我们在 PDO 中使用了预处理语句并绑定参数:

实例 (PDO 使用预处理语句)

$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);//预处理 SQL 并绑定参数

$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)

VALUES (:firstname, :lastname, :email)");$stmt->bindParam(‘:firstname‘, $firstname);$stmt->bindParam(‘:lastname‘, $lastname);$stmt->bindParam(‘:email‘, $email);//插入行

$firstname = "John";$lastname = "Doe";$email = "john@example.com";$stmt->execute();//插入其他行

$firstname = "Mary";$lastname = "Moe";$email = "mary@example.com";$stmt->execute();//插入其他行

$firstname = "Julie";$lastname = "Dooley";$email = "julie@example.com";$stmt->execute();echo "新记录插入成功";

}catch(PDOException $e)

{echo "Error: " . $e->getMessage();

}$conn = null;?>

PHP MySQL -处理语句

标签:sql注入   .com   www   带宽   col   class   接下来   email   指定

本条技术文章来源于互联网,如果无意侵犯您的权益请点击此处反馈版权投诉

本文系统来源:http://www.cnblogs.com/cisum/p/7977174.html

冒牌阎王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql.rar_mysql语句
09-19
mysql中的一些基本语句,包括增加、删除、修改等功能,可以重复使用。
php mysql if语句_PHP MySQL -处理语句
weixin_35610373的博客
01-18 183
PHPMySQL处理语句处理语句对于防止 MySQL 注入是非常有用的。预处理语句及绑定参数预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。预处理语句的工作原理如下:预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如:INSERT INTO MyGuests(firstname,lastname,email)VALUES(?,?,?)数据库解...
php mysql sql语句怎么_php sql语句
weixin_35544017的博客
01-19 187
展开全部header("Content-type:text/html;charset=utf-8");//用来操作mysql数据classMysql{private$host;private$port;private$user;private$password;private$dbname;private$charset;//构造e5a48de588b662616964757a686...
php mysql语句怎么_PHPMySQL语句
weixin_30998797的博客
02-28 230
MySQL:数据库就是数据的仓库,用来按照特定的结构去组织和管理我们的数据,– 查询语句的语法:select *|字段列表 from 表列表 where 条件 查询可以返回一个结果集(表)– *代表当前表的所有字段– 1.查询mytalbe中的所有数据select * from mytable– 2.查询mytable中的id和姓名select id,name from mytable;– 3...
PHP当中SQL语句的预处理
weixin_44739368的博客
06-02 1598
一、什么是预处理 1、实现SQL语句的预处理 2、首先需要预处理一个待执行的SQL语句模板 3、然后为该模板进行参数绑定 4、最后将用户提交的数据内容发送给MySQL执行,完成预处理的执行 二、预处理的实现——预处理SQL模板 1、mysqi_prepare()函数用于预处理一个待执行的SQL语句 mysqli_stmt mysqli_prepare ( mysqli $link , strin...
PHP代码+mysql规范
璀璨烟花
08-14 160
编码规范 PHP代码文件必须以不带BOM的UTF-8编码; 纯PHP文件必须省略最后 ?>结束标签。 缩进 使用tab键来缩进,每个tab键长度必须设置4个空格。 行 以屏幕换行为准,尽量不要横拉滚动条看代码; 非空行不能有多余的空格; 每行不能有多条语句; 适当空行有利于代码阅读,但不能滥用。 关键字 PHP所有关键字必须小,bool值true,false,null 也必须...
MySQL.rar_mysql语句
09-21
MySQL语法语句大全,这是多年我收集整理出来的实用文档
php中转义mysql语句的实现代码
01-21
你总不可能对每一个这样的特殊字符都人工进行转义,何况你通常处理的都是表单自动提交的内容。 所以,应该使用mysql_real_escape_string函数: mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊...
PHP执行批量mysql语句的解决方法
01-20
当有多条mysql语句连起来需要执行,比如 $sqls= “insert table a values(1,2); insert table a values(2,3);” 需要执行的话php中可以使用的方法有三个: mysql_query pdo mysqli 三种方法当sqls语句没有问题的时候...
PHP实现的通过参数生成MYSQL语句类完整实例
10-22
主要介绍了PHP实现的通过参数生成MYSQL语句类,结合完整实例形式分析了生成MYSQL语句类的实现与使用技巧,需要的朋友可以参考下
SQL注入防御之三——SQL语句处理PHP
心有猛虎,细嗅蔷薇!
08-26 8105
这篇文章将会告诉你,PHP怎么使用SQL语句处理,预处理语句有什么优点,以及分析预处理语句如何防止SQL注入
sql防注入——SQL语句处理PHP
你好~我叫哆啦A梦~
11-17 846
<?php header("content-type:text/html;charset=utf-8"); //设置编码 include_once "conn.php"; //是否有提交 if ($_POST["title"] and $_POST["content"]){ //获取值 $title=$_POST["title"]; $content=$_POST..
php使用mysql处理语句防止sql注入 简单讲解及代码实现
AKGWSB 's blog
07-29 2592
前言 最近在做一个小项目的后台,牵扯到登录等等需要操作数据库的地方,为了安全起见,特地来记录一下。 sql注入是一个非常常见的漏洞,可能会带来严重的后果,sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改sql语句的语义,以达到攻击者的目的。 sql注入简单介绍 sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改sql语句的语义,以达到攻击者的目的。初次听起来很抽象,什么是改语义呢?我们来举一个简单的例子 总所周知lol里面有一个位置叫做【辅助】,我们有如下语句: 我最喜欢
处理 insert php,PDO预处理语句PDOStatement对象使用总结
weixin_36424234的博客
03-10 367
PDO对预处理语句的支持需要使用PDOStatement类对象,但该类对象并不是通过NEW关键字实例化出来的,而是通过PDO对象中的prepare()方法,在数据库服务器中准备好一个预处理SQL语句后直接返回的。如果通过之前执行PDO对象中的query()方法返回的PDOStatement类对象,只代表的是一个结果集对象。而如果通过执行PDO对象中的prepare()方法产生的PDOStatem...
MYSQL处理语句
佳颖的专栏
04-15 2005
对于多次执行的语句,预处理执行比直接执行快,主要原因在于,仅对查询执行一次解析操作。在直接执行的情况下,每次执行语句时,均将进行查询。此外,由于每次执行预处理语句时仅需发送参数的数据,从而减少了网络通信量   A:select  *  from tablename B:select *   from tablename 服务器一般处理方式:     A--->S--->A   B--->
mysql处理语句
demonXwire的博客
12-22 457
语法 PREPARE 预处理语句名 FROM '预处理的sql'; //准备 EXECUTE 预处理语句名 USING 注入参数1,注入参数2; //执行 DEALLOCATE PREPARE 预处理语句名; //释放 说明 预处理的sql中,sql语句中用?代表参数。第一个问号,等会儿用注入参数1注入,第二个问号,用注入参数2注入 例子 PREPARE stm001 FROM 'select * from 表 where sex=? and name=?'; EXECUTE stm00
Mysql的if case 使用
Golden的专栏
10-27 503
Mysql的if既可以作为表达式用,也可在存储过程中作为流程控制语句使用,如下是做为表达式使用: IF表达式 IF(expr1,expr2,expr3) 如果 expr1 是TRUE (expr1 <> 0 and expr1 <> NULL),则 IF()的返回值为expr2; 否则返回值则为 expr3。IF() 的返回值为数字值或字符串值,具体情况视其所在语境而定。 select *,if(sva=1,"男","女") as ssva from taname where
php mysql处理_采用PHP处理防御SQL注入
weixin_36278817的博客
01-28 381
前言当我们需要编一个根据用户输入进行查询反馈的网页时,首先是如何构建一个能够满足用户查询要求的SQL语句;其次,则需要考虑如何防御SQL注入。如何防御SQL注入关系到整个数据库,乃至服务器的安全,所以是一个不用忽视的问题,也是这篇文章所要论述的重点。文章接下来的讲述将会以PHP + MySQL的组合进行举例说明。利用字符串构造SQL语句很多同学在初次编调用数据库相关的程序时,第一直觉采用的就是...
php mysql处理_PHP MySQL处理语句
weixin_28864139的博客
01-19 278
PHP MySQL处理语句在本教程中,您将学习如何使用PHPMySQL中使用预处理语句。预处理语句是什么预处理语句(也称为参数化语句)只是一个SQL查询模板,其中包含占位符而不是实际参数值。在执行语句时,这些占位符将被实际值替换。MySQLi支持使用匿名位置占位符(?),如下所示:INSERTINTOpersons(first_name,last_name,email)VALUE...
mysql -e_mysql -e参数使用详解
最新发布
05-30
mysql命令的-e参数用于执行SQL语句。可以在命令行中直接执行SQL语句而不需要进入mysql交互界面。 -e参数的语法为: ``` mysql -e "SQL语句" 数据库名 ``` 其中,SQL语句是要执行的SQL语句,数据库名是要操作的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值