pdo 参数化查询 mysql函数_PDO:预处理语句(参数化查询)

最新推荐文章于 2024-04-15 17:35:01 发布
最新推荐文章于 2024-04-15 17:35:01 发布
阅读量413 收藏
点赞数
文章标签: pdo 参数化查询 mysql函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39732716/article/details/113636598
版权
PDO是PHP的数据库对象,支持多种数据库类型并提供预处理语句(参数化查询)功能。预处理语句通过PDO::prepare()创建,使用PDOStatement::execute()执行,能有效防止SQL注入。PDOStatement::bindParam()将变量绑定到参数,执行时读取变量值,适合循环执行。PDOStatement::bindValue()则直接绑定值。预处理语句中不能直接使用SQL函数,但可以将参数用于SQL函数。对于LIKE语句,应使用bindValue并正确格式化参数。
摘要由CSDN通过智能技术生成

@(PDO(PHP data object/PHP数据对象))[PDO|预处理语句|参数化查询]

The database library called PHP Data Objects or PDO for short can use drivers for many different database types, and supports a very important feature known as prepared statements, sometimes also known as parametrized queries.

PDO::prepare

f432fee5d901?from=singlemessage

Paste_Image.png

在执行之前,对一条语句进行预处理,并返回一个语句对象。

预处理一条 SQL 语句,以便 PDOStatement::execute() 方法执行。该 SQL 语句可以包含 0 或更多个命名参数(:name)或问号参数(?),这些参数的真实值在语句执行的时候会被替换掉。使用这些参数绑定所有的用户输入的数据,不要在查询中直接包含用户输入的数据。

返回值:

如果数据库服务器成功地预处理了该语句,PDO::prepare() 将会返回一个 PDOStatement 对象;否则,返回 false 或 抛出 PDOException(依 error handling 而定)。

模拟的预处理语句并没有与数据库服务器进行通信,所以PDO::prepare()并没有检查该语句。

PDOStatement::bindParam

f432fee5d901?from=singlemessage

Paste_Image.png

原来 PDO 官方手册的简要描述的描述顺序有点怪怪的,并且后面的详细描述也不一致。所以这里把简要描述跟详细描述中的描述顺序统一一下。

Binds the specified variable name to a parameter.

绑定 指定的变量名(只能是 $name 的形式)到 一个参数(:name 或 ?参数 ,可以是 :name 或 从1 开始的索引 的形式)。

绑定 一个 PHP 变量 到 预处理语句中对应的命名占位符或问号占位符。

与 PDOStatement::bindValue() 不同的是:PDOStatement::bindParam() 中的变量是作为引用而绑定的,并且只有在调用 PDOStatement::execute() 的时候才会读取这个变量的值。

Note we used bindValue and not bindParam. Trying to bind a parameter by reference will generate a Fatal Error and this

最低0.47元/天 解锁文章
weixin_39732716
关注
PDO预处理语句PDOStatement对象使用总结
u011252402的专栏
08-05 2330
PDO预处理语句PDOStatement对象使用总结 PDO预处理语句的支持需要使用PDOStatement类对象,但该类对象并不是通过NEW关键字实例化出来的,而是通过PDO对象的prepare()方法,在数据库服务器准备好一个预处理的SQL语句后直接返回的。如果通过之前执行PDO对象的query()方法返回的PDOStatement类对象,只代表的是一个结果集对象。而如果
前端学PHP之PDO预处理语句
weixin_34109408的博客
12-05 350
前面的话   本来要把预处理语句和前面的基础操作写成一篇的。但是,由于博客园的限制,可能是因为长度超出,保存时总是报错,于是再开一篇。另一方面,相较于前面的exec()和query()语句来说,预处理语句更加常用   定义   在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了一种名为预处理语句...
pdo 使用参数化查询 sql
weixin_34051201的博客
08-10 168
http://anfirst.cn/archives/1030 方法 bindParam() 和 bindValue() 非常相似。唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。view sourceprint?01    $stm = $pdo->prepare("...
mysql pdo 预处理_php_pdo 预处理语句详解
weixin_39622332的博客
01-27 214
这篇文章主要介绍的是关于php_pdo 预处理语句,下面话不多说,我们来看看详细的内容。一、预处理语句可以带来两大好处:1、查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编...
pdo 参数化查询 mysql函数_PDO笔记之参数化查询
weixin_42369343的博客
02-02 324
参数化查询解释在这里:Wiki参数化查询(少有的Wiki文比英文介绍的要详细的编程条目)PDO参数化查询主要用到prepare()方法,然后这个方法会返回一个PDOStatement对象,也就SQL声明(不知道怎么翻译),此时SQL语句只是被编译,但并未执行,调用PDOStatement方法后会执行SQL语句,如下示例:$sm = $db->prepare('SELECT login...
php pdo 查询语句,PDO预处理语句参数化查询
weixin_29623481的博客
03-10 537
@(PDO(PHP data object/PHP数据对象))[PDO|预处理语句|参数化查询]The database library called PHP Data Objects or PDO for short can use drivers for many different database types, and supports a very important feature k...
pdo使用参数化查询sql
01-20
复制代码 代码如下: $stm = $pdo->prepare(“select * from users where user = :user”); $user = “jack”; //正确 $stm->bindParam(“:user”,$user); //错误 //$stm->bindParam(“:user”,”jack”); //正确 $...
pdo_mysql.rar_PDO_pdo_mysql.so
09-23
标题的"pdo_mysql.rar_PDO_pdo_mysql.so"暗示了我们正在处理与PHP的数据持久化对象(PDO)扩展,特别是其MySQL驱动(PDO_MYSQL)相关的文件。PDO是一种在PHP连接多种数据库的标准接口,而pdo_mysql.so是这个扩展的...
PHP PDO的使用
otorain的博客
09-09 313
一、创建一个PDO对象try{ $pdo = new PDO("mysql:host=localhost;dbname=pdo", "root", "root"); } catch (PDOException) { throw $e; } 二、设置PDO错误提示级别$pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 三、P
PHPPDO扩展如何使用预处理语句来防止SQL注入攻击?有哪些安全实践建议?
最新发布
Marthaondon的博客
04-15 1275
然后,我们使用prepare()方法准备了一个预处理语句,该语句的:name和:email是占位符,我们将在执行语句之前为它们绑定具体的值。更重要的是,PDO支持预处理语句,这是一种在执行时将数据与SQL语句分开的方法,从而有效地防止SQL注入攻击。预处理语句的工作原理是,先将SQL语句模板发送到数据库服务器进行预编译,然后在执行时再绑定具体的参数值。这样,即使参数值包含可能破坏SQL语句结构的特殊字符(如单引号),也不会影响预编译的SQL语句模板,从而有效地防止了SQL注入。// 准备预处理语句
php pdo参数化,php – 如何正确地使用PDO对象的参数化SELECT查询
weixin_30596433的博客
03-21 175
您选择这样的数据:$db = new PDO("...");$statement = $db->prepare("select id from some_table where name = :name");$statement->execute(array(':name' => "Jimbo"));$row = $statement->fetch(); // Use fe...
php pdo参数化,php – 用PDO准备参数化查询
weixin_42510222的博客
03-21 254
创建连接try {$db = new PDO("mysql:dbname=".DB_NAME.";host=".DB_HOST,DB_USER,DB_PWD);} catch (PDOException $e) {die("Database Connection Failed: " . $e->getMessage());}然后准备一份声明$prep = $db->prepare("S...
mysql pdo查询语句_PHP使用PDO执行SQL语句
weixin_39987985的博客
02-01 832
PDO ,我们可以使用三种方式来执行 SQL 语句,分别是 exec() 方法,query() 方法,以及预处理语句 prepare() 和 execute() 方法。下面就来分别介绍一下。1) exec() 方法当执行 INSERT、UPDATE 和 DELETE 等不需要返回结果集的 SQL 语句时,可以使用 PDO 对象的 exec() 方法。该方法成功执行后,将返回受影响的行数,语...
php操作pdo实现查询
dzyweer的博客
03-30 4830
<?php header("Content-type: text/html; charset=utf-8"); $dbms='mysql'; $dbName='goodsdb'; $user='root'; $pwd='root'; $host='localhost'; $charset = 'utf8'; $dsn="$dbms:host=$host;dbname=$dbName;char...
PDO执行SQL语句
热门推荐
杨森源的博客
03-30 1万+
exec()方法 exec()方法返回执行后受影响行数,语法如下: int PDO::exec(string statement) 参数statement是要执行的SQL语句。该方法返回执行查询时受影响的行数,通常情况下用于INSERT,DELETE和UPDATE语句。 例如: $dbms='mysql';//数据库类型 $dbName='admin';//使用的数据库 $us
php pdo 查询语句,php – 如何在PDO获取查询语句的类型?
weixin_34847198的博客
03-10 134
我正在寻找相同的答案,偶然发现了this article.它最后一次更新是在八月份.在其,有一节:“确定声明的类型”您基本上可以做出以下假设:(从文章复制)>如果columnCount()为零,则该语句不会生成结果集.相反,它修改了行,您可以调用rowCount()来确定受影响的行数.>如果columnCount()大于零,则语句生成结果集,您可以获取行.要确定有多少行,请在获取它...
PHP PDO预处理的形式实现数据登录,添加,查询
qq_34913864的博客
12-01 366
1.直接上干货,样式,起名规范,自行修改 (1)登录 <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale
PDO 简介——预处理语句和存储过程
水墨熊猫
09-28 8967
许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重
PHP PDO_MySQL类库:简化数据库操作
"一个PHP PDO_MySQL类的源代码示例,用于简化数据库操作,包括错误处理、初始化连接和定义连接参数。类包含了通用的query、exec方法,支持查询、更新、删除和插入操作。" 这个PDO_MYSQL类是为了在PHP更方便地操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值