java sql预处理_SQL语句预处理

最新推荐文章于 2021-02-21 07:55:51 发布
最新推荐文章于 2021-02-21 07:55:51 发布
阅读量1.1k 收藏 1
点赞数
文章标签: java sql预处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36207483/article/details/114207835
版权
PDO作为PHP数据对象,提供了一致的数据库访问接口。通过预处理SQL语句,可以实现更高效的执行和安全性,防止SQL注入。预处理分为两步:先提取SQL结构并编译,然后绑定变量执行。预编译使用`prepare()`方法,绑定数据使用`bindValue()`,最后通过`execute()`执行预处理语句。
摘要由CSDN通过智能技术生成

PDO (Php Date Object)PHP数据对象

PDO是PHP数据对象(PHP Data Object)的缩写。

PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口;

PDO作用是统一各种数据库的访问接口,PDO让跨数据库的使用更具亲和力;

有了PDO,我们不必再使用mysqli_*函数、oci_*函数或者mssql_*函数,也不必再为它们封装数据库操作类,只需要使用PDO接口中的方法就可以对各种数据库进行操作。

PDO是一个第三方的类,默认已经集成到PHP中了

PDO的访问流程图

3abe1f89cc58685ba7e99133e4c76e5a.png

SQL语句预处理

1. SQL语句执行过程

SQL语句的执行,分成两个阶段:编译和执行。

如果SQL语句,是第1次执行,先编译再执行。编译过程十分复杂,耗用系统资源,相对不太安全;

如果SQL语句(即相同的SQL语句),是第2次执行,直接从缓存中读取,无疑执行效率是最高的,也是比较安全的,可以有效避免SQL注入等安全问题;

29328d65127e6c246ced1918b71a3810.png

2. PDO的SQL语句预步骤

PDO完成预处理需要的步骤

a、先提取相同结构的sql部分!(将数据部分,可变的部分去掉)

b、编译这个相同的结构!将编译结果保存!

c、再将不同的数据部分进行替换!

d、执行即可!

提取相同结构的SQL语句 a、在SQL语句中,使用命名参数和问号参数,来代替可变的数据。

b、使用占位符":value"和"?"来代替可变的数据。

预编译相同结构的SQL语句

a、描述:执行预编译的SQL语句结构,并返回一个PDOStatement对象。

b、语法:public PDOStatement PDO::prepare ( string $statement )

c、返回:执行成功返回PDOStatement对象,失败返回FALSE。 //预编译相同结构的sql语句:含有占位符的sql语句

//$dsn,数据源名称或叫做 DSN,包含了请求连接到数据库的信息。通常,一个 DSN 由 PDO 驱动名、紧随其后的冒号、以及具体 PDO 驱动的连接语法组成。

$dsn = "mysql:host=loccalhost;post=3306;dbname=test;charset=utf8";

$user = "root";

$pwd = "root";

//创建PDO类的对象

$pdo = new PDO($dsn, $user, $pwd);

$PDOStatement = $pdo->prepare($sql);

var_dump($PDOStatement);

结果: object(PDOStatement)#2(1){

...

insert into student(name,age) values(:name, :age)

}

给占位符绑定数据

①描述:绑定一个值到预处理的 SQL 语句中的对应命名占位符或问号占位符。

②语法:bool PDOStatement::bindValue ( mixed $parameter , mixed $value ) ③参数:

a、$parameter,参数标识符。对于使用命名占位符的预处理语句,应是类似:name形式的参数名。对于使用问号占位符的预处理语句,应是以1开始索引的参数位置。

b、$value,绑定到参数的值; ④返回:成功时返回 TRUE, 或者在失败时返回 FALSE。

执行预处理的SQL语句

a、描述:执行一条预处理语句

b、语法:bool PDOStatement::execute( )

c、返回:成功时返回 TRUE, 或者在失败时返回 FALSE。 ":value"占位符综合示例:

//$dsn,数据源名称或叫做 DSN,包含了请求连接到数据库的信息。通常,一个 DSN 由 PDO 驱动名、紧随其后的冒号、以及具体 PDO 驱动的连接语法组成

$dsn = "mysql:host=loccalhost;post=3306;dbname=test;charset=utf8";

$user = "root";

$pwd = "root";

//创建PDO类的对象

$pdo = new PDO($dsn, $user, $pwd);

//构建插入的sql语句:提取相同结构部分,数据用占位符代替

$sql = "insert into student(name, age) values (:name, :age)";

//预编译相同结果的sql语句:含有占位符的sql语句

$PDOStatement = $pdo->prepare($sql);

//给站位符绑定真正数据

$PDOStatement->bindValue(":name", "张三");

$PDOStatement->bindValue(":age", 18);

//执行绑定数据的sql

$PDOStatement->execute();

"?"占位符综合示例:

//$dsn,数据源名称或叫做 DSN,包含了请求连接到数据库的信息。通常,一个 DSN 由 PDO 驱动名、紧随其后的冒号、以及具体 PDO 驱动的连接语法组成

$dsn = "mysql:host=loccalhost;post=3306;dbname=test;charset=utf8";

$user = "root";

$pwd = "root";

//创建PDO类的对象

$pdo = new PDO($dsn, $user, $pwd);

$sql = "insert into student(name, age) values (?,?)";

//预编译相同结果的sql语句:含有占位符的sql语句

$PDOStatement = $pdo->prepare($sql);

//给站位符绑定真正数据

$PDOStatement->bindValue("1", "张三");

$PDOStatement->bindValue("2", 18);

//执行绑定数据的sql

$PDOStatement->execute();

迷路的穿山甲
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
预处理SQL语句
weixin_46834417的博客
08-19 3092
所谓预处理指的就是将SQL语句中的关键字(如 SELECT…FROM…)与数据(如字段名,数据表名)分离,使得针对不同数据的相同SQL语句的执行开销更小,同时又可防止SQL注入的攻击 **传统方式的SQL语句,**在执行时每条SQL都需要经过分析丶编译和优化的步骤。 预处理方式则是利用客户端与服务器的二进制协议,预先编译一次客户端发送的SQL语句模板,然后再根据客户端发送给服务器相应数量的变量进行执行操作,并旦针对一条SQL语句模板可以执行多次,还无需考虑数据中含有未转义的SQI引号和分隔符字符. 预处理
MySQL快查-预处理SQL语句
cracal的博客
10-21 753
MySQL快查 因为在日常工作学习中经常忘记mysql的一些语句、关键字、操作等内容,所以最近抽取时间写了以下关于mysql相关内容。相当于一本字典吧 重置mysql密码 数据类型 运算符 常用函数 数据完整性 数据库的基本操作 对表本身的操作 对表中数据的操作 子查询 多表连接 索引 视图 本文 预处理SQL语句MySQL快查创建预处理语句执行预处理语句释放预处理语句 MySQL数据库中的prepare、execute、deallocate统称为预处理语句。 创建预处理语句 prepare stmt
java代码中的sql语句处理
03-06
该资源能够帮助使用者快速将嵌有sql语句Java代码转换为纯sql语句,也可以将纯sql语句转换为java拼接的方式。
SQL预处理语句(Prepared Statements)
热门推荐
that3的专栏
05-20 1万+
SQL预处理语句(Prepared Statements) 许多熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点: 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据
预处理sql语句
grace_fang的博客
10-12 1863
<?php //执行多条sql语句 header('content-type:text/html,charset=utf8'); $mysqli=new mysqli('localhost','root','','test'); if($mysqli->errno) { die('Connect Error'.$mysqli->error); } $mysqli->set_charset('u
java使用JDBC动态创建数据表及SQL预处理的方法
08-29
Java 使用 JDBC 动态创建数据表及 SQL 预处理的方法 Java 使用 JDBC 动态创建数据表及 SQL 预处理的方法是 Java 语言中常用的数据库操作技术。该方法主要涉及到 JDBC 操作数据库的连接、创建表、添加数据、查询等...
HW_SQL_TOOL.rar_SQL 解析_python sql_sql解析_sql语句 python_tool
最新发布
09-23
当我们需要对SQL语句进行处理,例如分析、转换或优化时,可能会借助于特定的工具。在这个场景下,"HW_SQL_TOOL.rar" 提供了一个Python库,专注于SQL解析。这个工具能够帮助我们理解SQL语句的结构,并将它们分解为更...
mysql 预处理语句_预处理语句
weixin_35871519的博客
02-07 1607
MySQL 8.0支持服务器端预处理语句。这种支持利用了有效的客户端/服务器二进制协议。对参数值使用带占位符的预处理语句具有以下好处:每次执行语句时解析语句的开销都较小。通常,数据库应用程序处理大量几乎相同的语句,仅对子句中的文字或变量值进行更改,例如WHERE查询和删除,SET更新和VALUES插入。防止SQL注入攻击。参数值可以包含未转义的SQL引号和定界符。应用程序中的预处理的语句您可以通过...
thinkphp mysql 预处理_PHP MySQL 预处理语句
weixin_39521009的博客
01-19 329
PHP MySQL 预处理语句MySQL 从4.1版本开始提供了一种名为预处理语句(prepared statement)的机制。MySQL 预处理语句不仅大大减少了需要传输的数据量,还提高了命令的处理效率。预处理语句对于防止 MySQL 注入是非常有用的。预处理语句及绑定参数预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。预处理语句的工作原理如下:预处理:创建 SQL 语句模板并发...
php mysql 预处理_PHP MySQL 预处理语句
weixin_28864139的博客
01-19 308
PHP MySQL 预处理语句在本教程中,您将学习如何使用PHP在MySQL中使用预处理语句。预处理语句是什么预处理语句(也称为参数化语句)只是一个SQL查询模板,其中包含占位符而不是实际参数值。在执行语句时,这些占位符将被实际值替换。MySQLi支持使用匿名位置占位符(?),如下所示:INSERTINTOpersons(first_name,last_name,email)VALUE...
MySQL预处理语句prepare、execute与deallocate的使用教程
01-21
前言 MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,我习惯称其为【预处理语句】,其用法十分简单,下面话不多说,来一起看看详细的介绍吧。 示例代码 PREPARE stmt_name FROM preparable_stmt EXECUTE stmt_name [USING @var_name [, @var_name] ...] - {DEALLOCATE | DROP} PREPARE stmt_name 举个栗子: mysql> PREPARE pr1 FROM 'SELECT ?+?'; Query OK, 0 r
java sql预处理_Java sql 预处理的封装
weixin_42300424的博客
02-12 290
除了select其他的基本都和insert一致. 因为select得到的结果集需要在处理完结果集后关闭数据库的连接.所以用到监听回调的办法.String sql = "select * from comment where fid=?";DBUtils.select(sql, new DBUtils.Listener() {@Overridepublic void callback(ResultS...
java连接mysql预处理
wudongfang666的专栏
06-14 651
package com.db;import java.sql.Connection;import java.sql.DriverManager;import java.sql.PreparedStatement;public class Util {  //数据库连接 用户名 密码 静态直接访问  解决中文??问题  static String URL = "jdbc:mysql://127...
java sql预处理,java空指针异常SQL预处理语句
weixin_42347869的博客
02-16 324
I have the following SQL query:private static final String SQL_LIST_ALL ="SELECT DISTINCT * "+ "FROM usuarios WHERE NOT EXISTS (SELECT * FROM usuarios_grupos WHERE usuarios_grupos.id_grupo = ? AND usu...
Java控制SQL进行一些简单的处理(改进版)
Multiangle's Notepad
03-03 1797
针对之前存在的问题,现在做出了改进。对于2个经常要查询的表,制定了propertyblock类和propertycontrol类,propertyblock类里3个数组,分别存放名字,id和活跃度。propertycontrol里则有一个37*37的二维数组,共1369个propertyblock类作为入口(为什么是37*37呢,26个字母+10个数字+其他字符)为了加快查找速度,每次得到一个新的名
java mysql预处理_数据库预处理方法
weixin_42204303的博客
02-01 621
title: 数据库预处理方法tag: [数据库,java]categories: 数据库package useJDBC;import java.sql.Connection;import java.sql.DriverManager;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLExc...
预处理语句
佳颖的专栏
04-15 1123
7.2.2  预处理语句 从JDBC API可以看到,PreparedStatement扩展自Statement,PreparedStatement是用于执行预编译的SQL语句,在提高性能方面有很多优点。下面以PreparedStatement举个例子,保存为TestPrepStmt.java。 例7-5  PreparedStatement预处理语句。 import java.sq
java sql in 预编译_JAVA使用预编译防止SQL注入
weixin_35513543的博客
02-21 1267
原标题:JAVA使用预编译防止SQL注入这是一条正常的SQL语句:SELECT * FROM users WHERE name ='$var';但是当变量var为 ' or true or '时,整条语句就变:SELECT * FROM users WHERE name ='' or true or '';很明显,这条语句WHERE后面跟的条件无论如何都为真,所以会有SQL注入现象的产生,咋JA...
java预处理PrepareStatement起到防止SQL注入的作用
大道至简
01-14 1180
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。        用法就是如下边所示: [java] view plain copy String sql="update cz_zj_directpayment dp
java sql预处理_PrepareStatement(sql预处理类)
weixin_36329425的博客
02-16 889
PrepareStatement(sql预处理类)import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import javax.swing.JOptionPane;pu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值