PDO 简介——预处理语句和存储过程 $stmt->bindParam(':name', $name);

最新推荐文章于 2022-12-17 06:57:42 发布
最新推荐文章于 2022-12-17 06:57:42 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: php
 

PDO 简介——预处理语句和存储过程

许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:

  1. 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重复执行许多次有不同参数的但结构相同的查询,这个过程会占用大量的时间,使得你的应用变慢。通过使用一个预处理语句你就可以避免重复分析、编译、优化的环节。简单来说,预处理语句使用更少的资源,执行速度也就更快。
  2. 传给预处理语句的参数不需要使用引号,底层驱动会为你处理这个。如果你的应用独占地使用预处理语句,你就可以确信没有SQL注入会发生。(然而,如果你仍然在用基于不受信任的输入来构建查询的其他部分,这仍然是具有风险的)


正因为预处理语句是如此有用,它成了PDO唯一为不支持此特性的数据库提供的模拟实现。这使你可以使用统一的数据访问规范而不必关心数据库本身是否具备此特性。

  1. /*
  2. 使用预处理语句重复插入数据(1)
  3. 此示例演示了一个通过向命名占位符代入一个name和一个value值来执行的INSERT查询
  4. */
  5. $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
  6. $stmt->bindParam(':name'$name);
  7. $stmt->bindParam(':value'$value); //插入一行
  8. $name = 'one';
  9. $value = 1;
  10. $stmt->execute();//使用不同的值插入另一行
  11. $name = 'two';
  12. $value = 2;
  13. $stmt->execute();
  15. /*
  16. 使用预处理语句重复插入数据(2)
  17. 此示例演示了一个通过向用?表示的占位符代入一个name和一个value值来执行的INSERT查询
  18. */
  19. $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
  20. $stmt->bindParam(1, $name);
  21. $stmt->bindParam(2, $value); // 插入一行
  22. $name = 'one';
  23. $value = 1;
  24. $stmt->execute(); // 使用不同的值插入另一行
  25. $name = 'two';
  26. $value = 2;
  27. $stmt->execute();
  29. /*
  30. 通过预处理语句获取数据
  31. 此示例演示使用从表单获取的数据为关键值来执行查询获取数据。用户的输入会被自动添加引号,所以这儿不存在SQL注入攻击的危险。
  32. */
  33. $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
  34.     if ($stmt->execute(array($_GET['name']))) {
  35.         while ($row = $stmt->fetch()) {
  36.         print_r($row);
  37.     }
  38. }

如果数据库驱动支持,你也可以像绑定输入参数那样绑定输出参数。输出参数常用于存储过程的返回值。输出参数用起来比输入参数稍微复杂一些,使用时你必须知道它返回的参数值有多大。如果它返回的参数值比你建议的大,就会发生错误。

  1. //调用一个带有输出参数的存储过程
  2. $stmt = $dbh->prepare("CALL sp_returns_string(?)");
  3. $stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); //执行存储过程
  4. $stmt->execute();
  5. print "procedure returned $return_value/n";

 

你也可以指定既代表输入又代表输出的参数,语法类似于输出参数。在下个代码示例中,“hello”字符串被传递到存储过程中,当它返回时,hello就会被存储过程的返回值取代。

  1. //调用一个带有输入/输出参数的存储过程
  2. $stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");
  3. $value = 'hello';
  4. $stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000);
  5. // 执行存储过程
  6. $stmt->execute();
  7. print "procedure returned $value/n";
  10. //占位符的错误使用
  11. $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
  12. $stmt->execute(array($_GET['name'])); // 占位符必须用于整个值的位置(下面是正确的用法)
  13. $stmt = $dbh->prepare(”SELECT * FROM REGISTRY where name LIKE ?”);
  14. $stmt->execute(array(”%$_GET[name]%”));
雨点ing
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phive-queue:$ queue-> push('我可以在'10分钟'后弹出);
02-02
$ queue -> push ( 'item2' , new DateTime ()); $ queue -> push ( 'item3' , time ()); $ queue -> push ( 'item4' , '+5 seconds' ); $ queue -> push ( 'item5' , 'next Monday' ); // get the queue size $ ...
php param参数,php中bind_param()函数用法分析
weixin_33334565的博客
03-09 1344
这篇文章主要介绍了php中bind_param()函数用法,简单分析了bind_param()函数的功能、参数、使用方法与相关注意事项,需要的朋友可以参考下本文实例讲述了php中bind_param()函数用法。分享给大家供大家参考,具体如下:从字面上不难理解,绑定的参数;下面我通过一个绑定参数的例子讲一下:for example:bind_param("sss", firstname,lastn...
PDO预处理
烈火熊熊在我心
08-06 1762
这篇来说一下PDO预处理。原理本质上就是编译一次,多次执行。PDO预处理语句(prepared statement)机制,是将一条SQL命令向数据库服务器发送一次(此时发送的参数不是实参,是占位符),以后参数发生变化,数据库服务器只需对命令的结构做一次分析就够了。$stmt = $conn->prepare("insert into categorylink (did,cid) values (:d
PDO 简介——预处理语句存储过程
水墨熊猫
09-28 8944
许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重
mysql bind param_PHP Mysqli_stmt->bind_param报错的原因与解决办法
weixin_39842271的博客
01-27 1377
最近由于升级PHP版本导致wordpress的一个插件运行时报错,也没有其他插件可供替代。俗话说,自己动手,丰衣足食。于是我开始自己编写插件。插件需要用到数据库中的内容,于是我编写查询查询语句,使用了据说较为安全的mysqli::prepare方法。但是有一个报错困扰了我很久。报错内容为“Fatal error: Uncaught Error: Call to a member function ...
php pdo 参数绑定,PDO预处理参数及绑定
weixin_42103587的博客
03-11 232
摘要:$stmt->bindColumn : 绑定一列到一个 PHP 变量$stmt->bindParam — 绑定一个参数到指定的变量名$stmt->bindValue — 把一个值绑定到一个参数$stmt->closeCursor — 关闭游标,使语句能再次被执行。$stmt->columnCount — 返回结果集中的列数$stmt->debugDumpP...
预处理语句存储过程
wangsg2014的专栏
07-17 840
很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。预处理语句可以带来两大好处: 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应
javascript乘法和加法_JavaScript基础
weixin_39638305的博客
11-29 252
JavaScript基础一、基本认识JavaScript是一门客户端脚本语言,主要提高网页的互动性,运行于客户端(浏览器)。日常用途:1、嵌入动态文本到HTML页面2、对浏览事件做出响应3、读写HTML元素4、在数据被提交到服务器之前验证数据5、检测访客的浏览信息6、控制cookies,包括创建和修改等7、基于Node.js技术进行服务器端编程分类:ECMAScript:主要讲述java...
PHP的PDO预处理语句存储过程
10-17
今天小编就为大家分享一篇关于PHP的PDO预处理语句存储过程,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
PDO预处理语句PDOStatement对象使用总结
10-25
主要介绍了PDO预处理语句PDOStatement对象使用总结,本文介绍了PDOStatement的方法及常用方法的使用例子,需要的朋友可以参考下
php_pdo 预处理语句详解
10-21
许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。可以使用多种方式实现预处理,下面通过这篇文章来给大家详细的介绍下关于php_pdo预处理语句,文中通过实例代码介绍的很详细,有需要的朋友们可以...
PDO中的存储过程
Lemon
01-11 593
存储过程允许在更接近于数据的位置操作数据,从而减少带宽的使用,它们使数据独立于脚本逻辑,允许使用不同语言的多个系统以相同的方式访问数据,从而节省花费在编码和调试上的宝贵时间。同时它使用预定义的方案执行操作,提高查询速度,并且能够阻止与数据的直接相互作用,从而起到保护数据的作用。 在PDO调用存储过程之前,先创建一个存储过程,其SQL语句如下: drop procedure if exist...
php mysql bind_PHP mysqli_stmt_bind_result() 函数用法及示例
weixin_42676678的博客
02-28 792
PHP mysqli_stmt_bind_result() 函数用法及示例mysqli_stmt_bind_result()函数将变量绑定到预处理语句以存储结果定义和用法mysqli_stmt_bind_result()函数用于将结果集的列绑定到变量。绑定变量后,您需要调用mysqli_stmt_fetch() 函数以获取指定变量中的列的值。语法mysqli_stmt_bind_result($...
PHP PDO的使用
otorain的博客
09-09 300
一、创建一个PDO对象try{ $pdo = new PDO("mysql:host=localhost;dbname=pdo", "root", "root"); } catch (PDOException) { throw $e; } 二、设置PDO错误提示级别$pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 三、P
08-PDO预处理操作
q506174602的博客
12-17 447
08-PDO预处理操作
pdo 参数化查询 mysql函数_PDO预处理语句(参数化查询)
weixin_39732716的博客
02-02 368
@(PDO(PHP data object/PHP数据对象))[PDO|预处理语句|参数化查询]The database library called PHP Data Objects or PDO for short can use drivers for many different database types, and supports a very important feature k...
php mysql bind_PHP mysqli_stmt_bind_param() 函数用法及示例
weixin_42357256的博客
02-02 3151
PHP mysqli_stmt_bind_param() 函数用法及示例mysqli_stmt_bind_param()函数将变量作为参数绑定到预处理语句。定义和用法mysqli_stmt_bind_param()函数用于将变量绑定到准备好的语句的参数标记。语法mysqli_stmt_bind_param($stmt,$types,$var1,$var2...);参数序号参数及说明1stm...
PHP mysqli_stmt 的 bindparam问题
钰琳仙境
09-25 575
在使用 mysqli_stmt 相关预处理SQL的方法时,调用bind_param会报一个参数不足的错误。可以采用如下方式解决,假设你有一个这样的封装: function execute_stmt($sql_str , $params=array()){ $stmt = mysqli_stmt_prepare($link_id, $sql_str); if ( $stmt ...
php bind_param()函数
热门推荐
苦艾文艺
10-04 1万+
从字面上不难理解,绑定的参数;下面我通过一个绑定参数的例子讲一下: for example: bind_param(“sss”, firstname,firstname, lastname, $email); 1:该函数绑定了 SQL 的参数,且告诉数据库参数的值。 “sss” 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字符串。 参数有以下四种类型:
pdo->prepare 导致数据生成两条
最新发布
06-09
PDO 的 prepare 方法不会导致数据生成两条。prepare 方法只是将 SQL 语句预处理,用于防止 SQL 注入攻击,并不会执行 SQL 语句。 如果你执行了 prepare 方法,但是数据生成了两条,这可能是因为你在执行 execute 方法时出现了问题。比如说,可能在执行了一次 execute 方法后,没有正确地释放相关资源,导致在执行第二次 execute 方法时,数据被重复插入。 为了避免这个问题,你可以在每次执行完 SQL 语句后,调用 PDOStatement 对象的 closeCursor 方法来释放相关资源,例如: ```php $stmt = $pdo->prepare("INSERT INTO table_name (column1, column2) VALUES (:value1, :value2)"); $stmt->bindParam(':value1', $value1); $stmt->bindParam(':value2', $value2); $stmt->execute(); // 执行第一次插入操作 $stmt->closeCursor(); // 释放相关资源 // 修改参数值 $value1 = 'new_value1'; $value2 = 'new_value2'; $stmt->execute(); // 执行第二次插入操作 $stmt->closeCursor(); // 释放相关资源 ``` 在上面的示例中,我们在每次执行完 SQL 语句后都调用了 closeCursor 方法来释放相关资源,从而避免了数据重复插入的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值