php中使用MySQL预处理_PHP MySQL 预处理语句

最新推荐文章于 2024-05-07 00:30:00 发布
最新推荐文章于 2024-05-07 00:30:00 发布
阅读量130 收藏
点赞数
文章标签: php中使用MySQL预处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39626089/article/details/113475999
版权

PHP MySQL 预处理语句

预处理语句对于防止 MySQL 注入是非常有用的。

预处理语句及绑定参数

预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。

预处理语句的工作原理如下:

预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如:

INSERT INTO MyGuests(firstname,lastname,email)VALUES(?,?,?)

数据库解析,编译,对SQL语句模板执行查询优化,并存储结果不输出。

执行:最后,将应用绑定的值传递给参数("?" 标记),数据库执行语句。应用可以多次执行语句,如果参数的值不一样。

相比于直接执行SQL语句,预处理语句有两个主要优点:

预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。

绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。

预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。

MySQLi 预处理语句

以下实例在 MySQLi 中使用了预处理语句,并绑定了相应的参数:

实例 (MySQLi 使用预处理语句)

<?php $servername= "localhost"; $username= "username"; $password= "password"; $dbname= "myDB"; //创建连接$conn= newmysqli($servername, $username, $password, $dbname); //检测连接if($conn->connect_error){die("连接失败: ". $conn->connect_error); }//预处理及绑定$stmt= $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"); $stmt->bind_param("sss", $firstname, $lastname, $email); //设置参数并执行$firstname= "John"; $lastname= "Doe"; $email= "john@example.com"; $stmt->execute(); $firstname= "Mary"; $lastname= "Moe"; $email= "mary@example.com"; $stmt->execute(); $firstname= "Julie"; $lastname= "Dooley"; $email= "julie@example.com"; $stmt->execute(); echo"新记录插入成功"; $stmt->close(); $conn->close(); ?>

解析以下实例的每行代码:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"

在 SQL 语句中,我们使用了问号 (?),在此我们可以将问号替换为整型,字符串,双精度浮点型和布尔值。

接下来,让我们来看下 bind_param() 函数:

$stmt->bind_param("sss", $firstname, $lastname, $email);

该函数绑定了 SQL 的参数,且告诉数据库参数的值。 "sss" 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字符串。

参数有以下四种类型:

i - integer(整型)

d - double(双精度浮点型)

s - string(字符串)

b - BLOB(binary large object:二进制大对象)

每个参数都需要指定类型。

通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。

7b4f0337bfe6cfb85549d9abc0dcf0de.png

注意: 如果你想插入其他数据(用户输入),对数据的验证是非常重要的。

PDO 中的预处理语句

以下实例我们在 PDO 中使用了预处理语句并绑定参数:

实例 (PDO 使用预处理语句)

$username= "username";

$password= "password";

$dbname= "myDBPDO";

try{$conn= newPDO("mysql:host=$servername;dbname=$dbname", $username, $password);

//设置 PDO 错误模式为异常$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

//预处理 SQL 并绑定参数$stmt= $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)

VALUES (:firstname, :lastname, :email)");

$stmt->bindParam(':firstname', $firstname);

$stmt->bindParam(':lastname', $lastname);

$stmt->bindParam(':email', $email);

//插入行$firstname= "John";

$lastname= "Doe";

$email= "john@example.com";

$stmt->execute();

//插入其他行$firstname= "Mary";

$lastname= "Moe";

$email= "mary@example.com";

$stmt->execute();

//插入其他行$firstname= "Julie";

$lastname= "Dooley";

$email= "julie@example.com";

$stmt->execute();

echo"新记录插入成功";

}catch(PDOException$e){echo"Error: ". $e->getMessage();

}$conn= null;

?>

weixin_39626089
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php mysql 预处理_PHP MySQL 预处理语句
weixin_28864139的博客
01-19 311
PHP MySQL 预处理语句在本教程,您将学习如何使用PHPMySQL使用预处理语句预处理语句是什么预处理语句(也称为参数化语句)只是一个SQL查询模板,其包含占位符而不是实际参数值。在执行语句时,这些占位符将被实际值替换。MySQLi支持使用匿名位置占位符(?),如下所示:INSERTINTOpersons(first_name,last_name,email)VALUE...
thinkphp mysql 预处理_PHP MySQL 预处理语句
weixin_39521009的博客
01-19 330
PHP MySQL 预处理语句MySQL 从4.1版本开始提供了一种名为预处理语句(prepared statement)的机制。MySQL 预处理语句不仅大大减少了需要传输的数据量,还提高了命令的处理效率。预处理语句对于防止 MySQL 注入是非常有用的。预处理语句及绑定参数预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。预处理语句的工作原理如下:预处理:创建 SQL 语句模板并发...
PHP MySQL 预处理语句
01-03
PHP MySQL 预处理语句 预处理语句对于防止 MySQL 注入是非常有用的。 预处理语句及绑定参数 预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。 预处理语句的工作原理如下: 预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 “?” 标记 。例如: INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?) 数据库解析,编译,对SQL语句模板执行查询优化,并存储结果不输出。 执行:最后,将应用绑定的值传递给参数(”?” 标记),数据库执行语句。应用可以多次执行语句,如果参数的值不一样
phpmysql预处理语句
XiaoLong4150的博客
07-25 886
第一种: $servername = 'localhost'; $username = 'root'; $password = ''; $dbname = 'myDB'; $conn = new mysqli($servername, $username, $password, $dbname); if($conn->connect_error){ die('连接失败:'.$con
mysql 预处理语句 php
hugejihu9的专栏
01-24 275
文章来自:源码在线https://www.shengli.me/php/631.html    
mysql 预处理语句_预处理语句
weixin_35871519的博客
02-07 1610
MySQL 8.0支持服务器端预处理语句。这种支持利用了有效的客户端/服务器二进制协议。对参数值使用带占位符的预处理语句具有以下好处:每次执行语句时解析语句的开销都较小。通常,数据库应用程序处理大量几乎相同的语句,仅对子句的文字或变量值进行更改,例如WHERE查询和删除,SET更新和VALUES插入。防止SQL注入攻击。参数值可以包含未转义的SQL引号和定界符。应用程序预处理语句您可以通过...
python mysql 预处理_python操作mysql数据库
weixin_28995873的博客
01-28 1007
本节内容:一、数据库的基本操作二、sql注入攻击三、pymysql 增删改查一、数据库的基本操作1、数据库的连接#(1) 连接数据库,创建连接对象conn = pymysql.connect( host="127.0.0.1" , user = "root" , password = "123456" , database="db102" , charset="utf8" , port= 3306...
PHP MySQL 预处理语句:读取数据:Where子句.md
最新发布
06-13
PHP 使用 MySQL 预处理语句(Prepared Statements)是一种非常推荐的方法来执行数据库操作,特别是在涉及到用户输入的情况下。预处理语句通过将数据与 SQL 查询语句分离的方式帮助防止 SQL 注入攻击,这是...
php mysql预处理_PHP MySQL 预处理语句
weixin_29370183的博客
01-19 226
预处理语句对于防止 MySQL 注入是非常有用的。SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。预处理语句及绑定参数预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。预处理语句的工作原理如下:1. 预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如:INSERTINT...
php mysql小结(PHP预处理语句
xiaoka__的博客
10-23 210
今天搞一下PHP操纵MySQL,做个小笔记。 1.使用MySQL命令行 可以打开phpstudy点开MySQL服务,也可以cmd下进入到MySQL下bin目录,输入net start mysql 2.使用PHP连接服务器、创建数据库、数据表、插入一条或多条数据等 具体代码就不详细说了,注意主机名。用户名和密码写对就可以了。 3.PHP预处理语句(可降低SQL注入的风险) 因为sql注入是因为动态字符串的拼接导致sql命令发生改变,然后编译并且执行错误的结果。 而sql预处理则是提前“告诉”sql语法处理器
PHP系列」PHP MySQL 预处理语句/读取数据/Where子句
日常笔记/总结/系列知识梳理
05-07 1295
PHP 使用 MySQL 预处理语句(prepared statements)是一种推荐的方式来执行数据库操作,特别是当涉及到用户输入时。你可以使用其他字符来表示其他类型,如 “i” 表示整数,“d” 表示双精度浮点数,“b” 表示 BLOB 数据等。使用预处理语句进行读取操作(尽管这在读取操作通常不如在写入操作那么重要,因为读取操作通常不涉及用户输入)也是可能的,但它主要用于提高安全性和性能,特别是在处理大量重复查询时。使用预处理语句可以提高代码的安全性,并有助于减少 SQL 查询的解析时间。
phpmysqli预处理,php – 在函数编写MySQLi预处理语句的正确方法?
weixin_36304352的博客
03-25 180
准备好的陈述好的,我刚开始看看MySQLi准备好的语句.这对我来说是一个很大的进步,因为我对MySQLPHP都是非常新的,所以我对这个概念(可能大约一个小时的价值)有一个非常脆弱的把握,所以你的答案必须用同样的措辞,抱歉这个.我想知道的是,如果我正确地写了一份准备好的陈述.没有什么比学习一个不正确并习惯它的方法更糟糕的了,因此编写整个项目效率低下.要点:我有一个注册用户的函数,然后返回插入的id...
php查询mysql总结和预处理
赏风听雨的专栏
07-25 4199
任务:进一步深入mysqli_multi_query()用法. 一、连接到mysql: $dbc = mysqli_connect(host,user,password,databasename); 等价于: $dbc = mysqli_connect(host,user,pwd); mysqli_select_db($dbc,db_name); 如果发生错误,可以调用:mysqli_connect_error() 返回错误信息,不带参数。 $dbc = @mysqli_connect(host,user,
mysql语句由什么负责处理_PHP MySQL预处理语句有什么用
weixin_36147585的博客
01-28 101
PHP MySQL预处理语句作用:PHP MySQL 预处理语句预处理语句对于防止 MySQL 注入是非常有用的。预处理语句及绑定参数预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。预处理语句的工作原理如下:预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如:INSERT INTO MyGuests (firstname, lastname, ema...
php mysql 预处理_PHP 操作 mysql 预处理
weixin_32342227的博客
01-19 144
由于本地 PHP 版本过底,没办法进行完整的测试$host = 'localhost';$user = 'root';$password = '';$dbname = 'cmstop';$mysqli = new mysqli($host, $user, $password, $dbname) or exit('无法连接到mysql:'.$mysqli->connect_error);$sq...
PHP连接MySQL相关操作
Blex
06-21 294
PHP 5 及以上版本建议使用以下方式连接 MySQL :MySQLi PDO (PHP Data Objects)我个人更偏好使用MySQLi,所以以MySQLi为例连接操作MySQLMySQLi又分为面向对象和面向过程两种方法,推荐使用面向对象。下面以面向对象为例:首先我们操作数据库之前要连接数据库&lt;?php $servername = "localhost"; //$serverna...
mysql prepare命令_Mysql预处理语句prepare、execute、deallocate
05-26
Mysql预处理语句是一种用于执行动态SQL语句的机制,可以在...使用Mysql预处理语句可以有效提高SQL语句的执行效率和安全性。它可以避免SQL注入攻击,并且可以重复利用已经编译好的语句,避免重复编译造成的性能损失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值