PDO 简介——预处理语句和存储过程 $stmt->bindParam(':name', $name);

最新推荐文章于 2022-12-17 06:57:42 发布
最新推荐文章于 2022-12-17 06:57:42 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: php
 

PDO 简介——预处理语句和存储过程

许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:

  1. 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重复执行许多次有不同参数的但结构相同的查询,这个过程会占用大量的时间,使得你的应用变慢。通过使用一个预处理语句你就可以避免重复分析、编译、优化的环节。简单来说,预处理语句使用更少的资源,执行速度也就更快。
  2. 传给预处理语句的参数不需要使用引号,底层驱动会为你处理这个。如果你的应用独占地使用预处理语句,你就可以确信没有SQL注入会发生。(然而,如果你仍然在用基于不受信任的输入来构建查询的其他部分,这仍然是具有风险的)


正因为预处理语句是如此有用,它成了PDO唯一为不支持此特性的数据库提供的模拟实现。这使你可以使用统一的数据访问规范而不必关心数据库本身是否具备此特性。

  1. /*
  2. 使用预处理语句重复插入数据(1)
  3. 此示例演示了一个通过向命名占位符代入一个name和一个value值来执行的INSERT查询
  4. */
  5. $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
  6. $stmt->bindParam(':name'$name);
  7. $stmt->bindParam(':value'$value); //插入一行
  8. $name = 'one';
  9. $value = 1;
  10. $stmt->execute();//使用不同的值插入另一行
  11. $name = 'two';
  12. $value = 2;
  13. $stmt->execute();
  15. /*
  16. 使用预处理语句重复插入数据(2)
  17. 此示例演示了一个通过向用?表示的占位符代入一个name和一个value值来执行的INSERT查询
  18. */
  19. $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
  20. $stmt->bindParam(1, $name);
  21. $stmt->bindParam(2, $value); // 插入一行
  22. $name = 'one';
  23. $value = 1;
  24. $stmt->execute(); // 使用不同的值插入另一行
  25. $name = 'two';
  26. $value = 2;
  27. $stmt->execute();
  29. /*
  30. 通过预处理语句获取数据
  31. 此示例演示使用从表单获取的数据为关键值来执行查询获取数据。用户的输入会被自动添加引号,所以这儿不存在SQL注入攻击的危险。
  32. */
  33. $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
  34.     if ($stmt->execute(array($_GET['name']))) {
  35.         while ($row = $stmt->fetch()) {
  36.         print_r($row);
  37.     }
  38. }

如果数据库驱动支持,你也可以像绑定输入参数那样绑定输出参数。输出参数常用于存储过程的返回值。输出参数用起来比输入参数稍微复杂一些,使用时你必须知道它返回的参数值有多大。如果它返回的参数值比你建议的大,就会发生错误。

  1. //调用一个带有输出参数的存储过程
  2. $stmt = $dbh->prepare("CALL sp_returns_string(?)");
  3. $stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); //执行存储过程
  4. $stmt->execute();
  5. print "procedure returned $return_value/n";

 

你也可以指定既代表输入又代表输出的参数,语法类似于输出参数。在下个代码示例中,“hello”字符串被传递到存储过程中,当它返回时,hello就会被存储过程的返回值取代。

  1. //调用一个带有输入/输出参数的存储过程
  2. $stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");
  3. $value = 'hello';
  4. $stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000);
  5. // 执行存储过程
  6. $stmt->execute();
  7. print "procedure returned $value/n";
  10. //占位符的错误使用
  11. $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
  12. $stmt->execute(array($_GET['name'])); // 占位符必须用于整个值的位置(下面是正确的用法)
  13. $stmt = $dbh->prepare(”SELECT * FROM REGISTRY where name LIKE ?”);
  14. $stmt->execute(array(”%$_GET[name]%”));
雨点ing
关注
专栏目录
PHP学习笔记——MySQL的多种连接方法
qq_41679358的博客
07-09 1360
文章目录连接 MySQLMySQLi - 面向对象PDOMySQL 创建数据库MySQLi - 面向对象PDOMySQL创建数据表MySQLi - 面向对象PDOMySQL 插入数据MySQLi - 面向对象PDOMySQL 插入多条数据MySQLi - 面向对象PDOMySQL 预处理语句MySQLi - 面向对象PDOMySQL 读取数据MySQLi - 面向对象PDOMySQL Where 子句MySQL Order By 关键词MySQL UpdateMySQL DeletePHP 数据库 ODBC
php pdo 查询语句,PDO预处理语句(参数化查询)
weixin_29623481的博客
03-10 551
@(PDO(PHP data object/PHP数据对象))[PDO|预处理语句|参数化查询]The database library called PHP Data Objects or PDO for short can use drivers for many different database types, and supports a very important feature k...
PHP使用PDO调用mssql存储过程的方法示例
12-20
本文实例讲述了PHP使用PDO调用mssql存储过程的方法。分享给大家供大家参考,具体如下: 数据库中已创建存储过程user_logon_check, PHP调用示例如下, <?php $dsn = 'mssql:dbname=MyDbName;host=localhost'; $user = 'sa'; $password = '666666'; try { $dbCon = new PDO($dsn, $user, $password); } catch (PDOException $e) { print 'Connection failed: '.$e->getMes
PDO 简介——预处理语句存储过程
水墨熊猫
09-28 8979
许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重
预处理语句存储过程
wangsg2014的专栏
07-17 866
很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。预处理语句可以带来两大好处: 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应
php -- PDO预处理
weixin_34223655的博客
07-23 175
   可以使用多种方式实现预处理:指的是在绑定数据进行执行的时候,可以有多种方式。 预处理语句中为变量 使用数组指定预处理变量   1、准备预处理语句(发送给服务器,让服务器准备预处理语句)   PDOStatement PDO::prepare:类似exec将一条SQL语句发送给Mysql服务器       //PDO::prepare 能够自动的准备一个预处理语句,用户需要准备的只...
pdo预处理案例
郝云博客
05-03 2962
pdo防止sql注入预处理 1.查询 public function dologin2(){ $dsn = "mysql:host=127.0.0.1;dbname=php7";//pdo 连接方法 $db = new PDO($dsn, 'root', 'root'); $name=$_POST['name'];//$name="zhangsan' or 'a'
PDO的教程与应用
我的世界
05-22 1382
PDO—数据库抽象层 简介PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,PDO解决了数据库连接不统一的问题。 一、 PDO简介 本章主要介绍PDO的安装与配置,以及使用PDO连接数据库的方法。 1-1PDO简介 PDO是PHP Data Object(PHP数据对象)的简称,它是与PHP5.1版本一起发布的,目前支持的数据库包括Firebird、FreeTDS、In...
PHP PDO预处理方式(PDOStatement对象)实现 增删改查。防sql注入
houyanhua1的专栏
02-26 4023
demo.php(?号式的预处理sql语句,增删改): <?php //?号式的预处理语句 一共有3种绑定方式 //1.连接数据库 try{ $pdo = new PDO("mysql:host=localhost;dbname=数据库名","root","密码"); }catch(PDOException $e){ die("数据库连接失败".$e->getMessage());
PDO预处理语句PDOStatement对象使用总结
12-19
PDO预处理语句是PHP中PDO(PHP Data Objects)扩展提供的功能,用于提高SQL查询的安全性和性能。预处理语句允许在SQL语句中使用占位符,避免SQL注入攻击,同时通过预先编译和复用SQL模板来提高执行效率。在PDO中,...
PDO 预处理
Amn-o的博客
04-11 597
连接try{ $conn=new PDO('mysql:host=localhost;port=3306;dbname=pdo_test','root','root'); }catch(PDOException $e){ echo $e-&gt;getMessage(); } $pdo-&gt;query('set names utf8'); 插入$sql = "insert into ...
PDO预处理
12-14 757
PDO预处理
pdo预处理
qcy_10086的博客
09-06 461
//链接数据库 $dsn="mysql:host=127.0.0.1;dbname=jq"; $pdo=new PDO($dsn,"root","root"); //防乱码 $pdo->exec("set names utf8"); //准备语句 $sql="select * from lianxi1 where name=:name"; $stem=$pdo->prepare($s
PDO中的存储过程
Lemon
01-11 618
存储过程允许在更接近于数据的位置操作数据,从而减少带宽的使用,它们使数据独立于脚本逻辑,允许使用不同语言的多个系统以相同的方式访问数据,从而节省花费在编码和调试上的宝贵时间。同时它使用预定义的方案执行操作,提高查询速度,并且能够阻止与数据的直接相互作用,从而起到保护数据的作用。 在PDO调用存储过程之前,先创建一个存储过程,其SQL语句如下: drop procedure if exist...
PDO预处理
qq_25285531的博客
05-06 524
PDO中的基本的原理和步骤和MySQL中的预处理都是一样的,只不过就是把MySQL中的预处理所有命令行的语法封装成了PDO对象的几个公开的方法而已! 1.发送预处理语句 此时,我们需要调用pdo对象的prepare方法,得到一个PDOStatement结果对象! 2.绑定参数 调用PDOStatement对象中的bindParam方法: 3.执行预处理语句 调用PDOStatement对象中的e...
PHP:PDO预处理
weixin_43731793的博客
09-17 378
** ** ** ** ** ** ** ** ** ** **
08-PDO预处理操作
我们的目标是星辰大海!
12-17 520
08-PDO预处理操作
pdo预处理
vm021的博客
12-17 867
/**  * PDO封装类,目的是为了使用起来更简单方便  * modify Date: 2014-07-01  */ class PDOX {     private $pdo        = null;           public  $statement = null;           public  $options = 
pdo->prepare 导致数据生成两条
最新发布
06-09
$stmt = $pdo->prepare("INSERT INTO table_name (column1, column2) VALUES (:value1, :value2)"); $stmt->bindParam(':value1', $value1); $stmt->bindParam(':value2', $value2); $stmt->execute(); // 执行第...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值