MySQL预处理 缺点_关于mysql预处理技术的一点小心得

我们先来看传统的操作数据库的方法。

传统的操作数据库方法有两种：

先写一条sql语句，然后通过mysqli->query($sql)去操作数据库(笔者此处使用的是mysqli扩展库)。这样操作 并不会有什么大的错误，但是当你要插入上千条上万条数据呢？难道也还是要这样写一　条sql语句然后再操作一下数据库？那有人会说， 好办嘛 ，用mysqli自带的操作多条sql语句的方法，即第二种方法。

mysqli->multi_query($sql)，这是操作多条sql语句的方法，如下：

如果你认为这样就可以完全解决问题，那么你就错了，接下来让我们来看一看MySQL数据库执行sql语句的原理吧！

　　　从上图可以看出，无论我们是发送一条sql语句还是发送多条sql语句，数据库都要对其一一的进行编译，那么当数据达到一定量之后，数据库的开销就必然很大。那究竟怎样解决这个问题呢？此时就引入了预处理技术的概念。

下面我们来看一段预处理技术的代码：

1 <?php2 /**3 * Created by PhpStorm.4 * User: Administrator5 * Date: 2017/7/206 * Time: 17:527 */

8 $mysqli = new mysqli("localhost", "root", "123456", "student");9 if ($mysqli->connect_error) {10 die("连接失败" . $mysqli->error);11 }

//设置编码格式为utf-8,这样数据库展示中文的时候才不会出错12 $mysqli->query("set names utf8");13 $sql = "insert into student_info(name,age,sex,studentNo,grade) values (?,?,?,?,?)";14 //向数据库发送sql语句，让数据库对该sql语句先进行编译

15 $mysqli_stmt = $mysqli->prepare($sql);16 //绑定参数

17 $name = "张三";18 $age = 30;19 $sex = 0;//1表示男，0表示女

20 $stuNo = "1501222";21 $grade = 89;22

23 $mysqli_stmt->bind_param("siisd", $name, $age, $sex, $stuNo, $grade);24 //执行

25 $mysqli_stmt->execute();26 //关闭连接

27 $mysqli->close();

首先我们来看

$sql = "insert into student_info(name,age,sex,studentNo,grade) values (?,?,?,?,?)";

等等，为什么values会是问号呢？这里的问号相当于一个占位符，之后只要向数据库发送数据就能够自动把数据对应的填充进去

这就是预编译技术的精髓之处，我们通过$mysqli_stmt = $mysqli->prepare($sql);向数据库发送sql语句，然后数据库对该sql语句进行编译，并且数据库不会立即释放掉编译的结果。$mysqli_stmt->bind_param("siisd", $name, $age, $sex, $stuNo, $grade);bind_param，顾名思义，就是绑定参数的意思，那么，它给谁绑定参数呢？看看上面的values (?,?,?,?,?)，bind_param里面的参数一一对应

着values的每一个参数。那么bind_param里面的siisd又是什么意思呢？别急，请看下方：

参数有以下四种类型:

i - integer(整型)

d - double(双精度浮点型)

s - string(字符串)

b - BLOB(布尔值)

每个参数都需要指定类型。

通过告诉数据库参数的数据类型，可以降低 SQL 注入的风险.

$mysqli_stmt->execute();这句代码就是将数据传递给数据库了。

使用预处理数据查询数据库

代码如下：

* Created by PhpStorm.

* User: Administrator

* Date: 2017/7/21

* Time: 9:37*/

$mysqli = new mysqli("localhost","root","123456","student");if($mysqli->connect_error){die("连接失败".$mysqli->error);

}$mysqli->query("set names utf8");$sql="select name,sex,age from student_info where id>?";$mysqli_stmt=$mysqli->prepare($sql);$id=1;$mysqli_stmt->bind_param("i",$id);$mysqli_stmt->execute();//绑定结果集，传递的是引用

$mysqli_stmt->bind_result($name,$sex,$age);while($mysqli_stmt->fetch()){echo "$name--$sex--$age"."
";

}//关闭资源

$mysqli_stmt->free_result();//关闭预编译语句，否则数据库会一直保存

$mysqli_stmt->close();//关闭连接

$mysqli->close();

可以看出，查询与插入相比多了

这样一句代码，那么这句代码是什么意思呢？

可以想象，查询数据库的时候，数据库必然会返回一个结果集，那么如果你想取得该结果的一些数据，那么就必须加上这句话。那么，这些参数又是什么意思呢？

看看这句sql语句，你会发现bind_result里面的参数一一对应于sql语句当中你要查询的字段(name,sex,age)，当然，bind_result里面的参数可以不与sql语句的字段名字相同，但是我们通常推荐这样做。

多的不说，上图：

可以这样理解：$name,$sex,$age是引用传递，他们相当于指针，分别指向结果集的第一行的列地址，每执行一次while语句，指针便向下移动

这样，便可以打印出每一行的数据了 ，结果如下：

同时，那三个关闭别忘记了，重中之重。