mysqli 预处理

最新推荐文章于 2023-05-14 08:32:34 发布
最新推荐文章于 2023-05-14 08:32:34 发布
阅读量602 收藏 3
点赞数
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wozhangyi/article/details/110160813
版权

基础概念

预处理 SQL

很多情况下,某一条 SQL 语句可能会被反复调用执行,语句格式一样,只是值不同,如果每次都需要经过分析查询得到相同的编译结果,这样效率就很低

预编译语句就是将此类 SQL 语句中的值用占位符替代,可以视为将 SQL 语句模板化或者说参数化,实现一次编译、多次运行,省去了多次分析查询的过程

预处理的优势

  • 效率高,执行速度快
  • 安全性高,可以防止sql注入

预处理分析图

插入一个记录需要的时间由下列因素组成,其中的数字表示大约比例:
连接:(3)
发送查询给服务器:(2)
分析查询:(2)
插入记录:(1x记录大小)
插入索引:(1x索引)
关闭:(1)

普通流程

连接,发送sql并接收,分析查询(如果出错,返回错误信息,如果没错,继续往下走),插入操作(入库),如果有索引,还要继续维护索引,关闭连接

在这里插入图片描述

sql语句是在dbms中分析查询的,php是看不懂的,所以即使php中的sql语句写错,也不会报错

预处理流程

在执行sql语句的时候,首先将前面相同的命令和结构部分发送给MySQL服务器,让MySQL服务器事先进行一次预处理(此时并没有真正的执行sql语句),而为了保证sql语句的结构完整性,在第一次发送sql语句的时候将其中可变的数据部分都用一个数据占位符来表示,第二次只需要发送 参数 即可,实现一次编译、多次运行

在这里插入图片描述
图不好画,发送的应该是参数,重点就是预处理后会跳过分析查询这一步,从而提升效率

预处理示例(面向对象)

预处理 dml

//1.连接数据库 创建mysqli对象
$conn = new mysqli('localhost','root','','test');
if ($conn->connect_errno){
    die('连接失败'.$conn->connect_error);
}else{
    echo '连接成功';
}

$conn->query('set names utf8');

//2.创建预处理对象
//可以只存部分字段 前提是其他字段有默认值 ? 占位
//$sql = 'insert into user (id,name,$password,$email,$age))values (?,?,?,?,?)';
$sql = 'insert into user values (?,?,?,?,?)';
$stmt = $conn->prepare($sql) or die($conn->error);

//3.绑定参数 (就是给 ? 赋值)
//mysqli_stmt_bind_param()函数把变量绑定给预处理对象
//isdb: int str double/floot bool
//这里类型和顺序都要对应
//疑问:php中变量不可以先使用后定义吧?  个人猜测既然这里是引用赋值 那么肯定是有相关的全局变量的 就不不知怎么来的
$stmt->bind_param('isssi',$id,$name,$password,$email,$age);

//====================================================================
//4.设置参数数据
$id = 3;
$name = 'ww';
//这里不能用函数 如 md5(123)
$password = '123';
$email = 'ww@qq.com';
$age = 18;

//5.执行一个编译过的语句
//execute()函数返回值为 bool
//如果这里添加失败 程序仍然会向下执行 添加下一条数据 感觉每条数据都是独立的
//你可以手动进行错误控制,结束程序,也可以写成错误日志,然后继续执行
//$stmt->execute() or die('执行失败'.$stmt->error);
if (!$stmt->execute()){
    error_log($id.'没加进去',3,'myerror.txt');
}

//======================================================================

//4.设置参数数据(只需要绑定一次参数就行)
$id = 4;
$name = 'kk';
$password = '123';
$email = 'kk@qq.com';
$age = 28;

//5.执行一个编译过的语句
if (!$stmt->execute()){
    error_log($id.'没加进去',3,'myerror.txt');
}
//=======================================================================

//6.关闭连接

//关闭预编译
$stmt->close();
//关闭连接
$conn->close();

预处理 dql

//1.连接数据库 创建mysqli对象
$conn = new mysqli('localhost','root','','test');
if ($conn->connect_errno){
    die('连接失败'.$conn->connect_error);
}else{
    echo '连接成功';
}

$conn->query('set names utf8');

//2.创建预处理对象
$sql = 'select * from user where id>?';
$stmt = $conn->prepare($sql);

//3.绑定参数 (就是给 ? 赋值)
$stmt->bind_param('i',$id);

//4.设置参数数据
$id = 2;

//5.绑定结果集
//注意 这里是引用传递 这里的参数 与 sql语句 value参数对应
$stmt->bind_result($id,$name,$password,$email,$age);

//6.执行一个编译过的语句
if ($stmt->execute()){
    echo '查询成功';
    //7.取结果
    //这里不需要$row=$stmt->fetch() 直接执行该方法会把值对应赋给变量,因为上面是引用传递,所以值可变
    while ($stmt->fetch()){
        echo'<br>';
        echo $id.'--'.$name.'--'.$password.'--'.$email.'--'.$age;
    }
}else{
    echo '查询失败';
}

//8.释放结果集 关闭连接

//释放结果集(资源)
$stmt->free_result();
//关闭预编译
$stmt->close();
//关闭连接
$conn->close();

预处理防止sql注入

预编译可以自动防止 sql (结构化查询语句) 注入攻击使用万能密码

管理员登录,需要账户密码

注入案例

$conn = new mysqli('localhost','root','','test');

if ($conn->connect_errno){
    die('连接失败'.$conn->connect_error);
}

$conn->query('set names utf8');

$sql = 'select * from users where id=100 and pwd = \'aaa\' or 1=\'1\'';
$res = $conn->query($sql);
if (!$res){
    die('读取数据失败<br>'.$conn->error);
}else{
    echo '读取数据成功<br>';
}

while ($row = $res->fetch_row()){
    foreach ($row as $k=>$v){
        echo "$v--";
    }
    echo '<br>';
}

$res->free();
$conn->close();

================================== cmd中演示 ===============================================

mysql> create table users(id int,name varchar(32),pwd varchar(32));
Query OK, 0 rows affected (0.08 sec)

mysql> insert into users values(100,'zy','123');
Query OK, 1 row affected (0.03 sec)

mysql> select * from users where id=100 and pwd = '123';
+------+------+------+
| id   | name | pwd  |
+------+------+------+
|  100 | zy   | 123  |
+------+------+------+
1 row in set (0.00 sec)

//账号 100  密码  xx   密码错误
mysql> select * from users where id=100 and pwd = 'xx';
Empty set (0.00 sec)

//账号 100  密码  xx' or 1='1   万能密码
mysql> select * from users where id=100 and pwd = 'xx' or 1='1';
+------+------+------+
| id   | name | pwd  |
+------+------+------+
|  100 | zy   | 123  |
+------+------+------+
1 row in set (0.00 sec)

解决方案1:使用预编译

//预编译后 万能密码失效
$conn = new mysqli('localhost','root','','test');

if ($conn->connect_errno){
    die('连接失败'.$conn->connect_error);
}

$conn->query('set names utf8');

$sql = 'select * from users where id=? and pwd =?';
$stmt = $conn->prepare($sql) or die($conn->error);

$stmt->bind_param('is',$id,$pwd);

$stmt->bind_result($id,$name,$pwd);

$id = 100;
$pwd = "aaa' or 1='1";
//$pwd = '123';

if ($stmt->execute()){
    while ($stmt->fetch()){
        echo '<br>';
        echo $id.'--'.$name.'--'.$pwd;
    }
}else{
    echo '查询失败'.$stmt->error;
}

$stmt->free_result();
$stmt->close();
$conn->close();

解决方案2:修改校验逻辑

旧方案:原本的校验逻辑,这种方式很容易被sql注入

$sql = "select * from users where id=100 and pwd = 'xxx'";
看看有没有查询到信息
if(查询到){
	header('admin.php');
}else{
	header('login.php');
}


新方案:修改校验逻辑

$sql = "select pwd from users where id=100";
看看有没有查询到信息
如果有 说明id存在

if(从数据库查询到的密码 == 用户输入的密码){
	header('admin.php');
}else{
	header('login.php');
}

解决方案2:加强

//解决方案2已经比较安全了,但仍有可能被攻击
在 DAOMySQLi 类中添加转义字符串方法,把字符串里面的 ' 等危险的东西处理掉,增加安全性

//转义字符串,并使用引号包裹
public function escapeString($str){
     return "'".$this->_mysqli->real_escape_string($str)."'";
}
路飞小朋友
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php+mysqli预处理技术实现添加、修改及删除多条数据的方法
10-24
主要介绍了php+mysqli预处理技术实现添加、修改及删除多条数据的方法,实例分析了mysqli实现预处理的原理及使用技巧,可有效提高程序运行效率,非常具有实用价值,需要的朋友可以参考下
mysqli预处理编译的深入理解
01-19
记得以前php点点通也写过mysqli预处理的php教程,那时候只是看书乱写的,没懂原理,数月...程序员总是很聪明的,于是有了mysqli预处理技术!mysqli还能防止sql注入攻击! 看看下面这个预编译代码: 代码如下: <?
mysqli 预处理详解
wml
04-20 9628
预处理语句及绑定参数 预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。 预处理语句的工作原理如下: 预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如:INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?) 数据库解析,编译,对SQL语句模板执行查询优
PHP数据库连接mysql与mysqli的区别与用法
weixin_33751566的博客
06-22 956
一、mysql与mysqli的概念相关:1、mysql与mysqli都是php方面的函数集,与mysql数据库关联不大。2、在php5版本之前,一般是用php的mysql函数去驱动mysql数据库的,比如mysql_query()的函数,属于面向过程3、在php5版本以后,增加了mysqli的函数功能,某种意义上讲,它是mysql系统函数的增强版,更稳定更高效更安全,与mys...
PDO和mysqli扩展都支持预处理语句,是干什么的?底层原理是什么?
长风破浪会有时的博客
05-14 175
首先,预处理语句会将 SQL 语句编译成一个查询计划,这个计划会被缓存,如果同样的语句再次被执行,就可以直接使用缓存中的计划,避免了重新编译 SQL 语句的开销,提高了查询性能。在执行查询时,预处理语句会将绑定的参数和 SQL 语句一起发送给数据库服务器,数据库服务器会使用缓存中的查询计划来执行查询,并将结果返回给 PHP。方法对 SQL 语句进行预处理,这个过程会将 SQL 语句编译成一个查询计划,并返回一个预处理对象。总之,使用预处理语句可以提高查询性能和安全性,是 PHP 中常用的数据库操作技术。
MySQL如何对SQL做prepare预处理(解决IN查询SQL预处理仅能查询出一条记录的问题)
健身变秃,coding变强
07-23 2357
1、SQL预处理prepare的由来? 2、SQL预处理prepare如何使用? 3、解决SQL预处理prepare对in查询无效的问题
mysqli预处理
weixin_43621780的博客
12-06 281
     预处理是php中防止SQL注入的一种方式。      在mysqli操作中常常涉及到它的三个主要类:MySQLi类,MySQL_STMT类,MySQLi_RESULT类。预处理主要是利用MySQL_STMT类完成的。       预处理是一种重要的 防止SQL注入的手段,对提高网站安全性有重要意义。       创建SQL语句模板并发送到数据库。预留的值使用参数“?”。例如:INS...
php+mysqli使用预处理技术进行数据库查询的方法
10-24
主要介绍了php+mysqli使用预处理技术进行数据库查询的方法,实例分析了php+mysqli预处理技术的使用技巧,需要的朋友可以参考下
mysqli预处理详解
sinat_29326171的博客
02-26 360
mysqli预处理的学习主要是指mysqli_stmt对象的方法的使用,下面我们通过一个例子来分析各个方法的使用方法和作用: 代码如下: /* 连接mysql */ $mysqli = new Mysqli(DB_HOST,DB_USER,DB_PWD,DB_NAME); if($mysqli->connect_errno){ die('Connect Error : '.$mysqli->connect_error); } /* 预处理sql */ $sql = "SELECT *
PHPmysqli预处理执行查询语句
sinat_29326171的博客
03-13 327
header( 'Content-Type:text/html;charset=utf-8 '); require 'prepareSrarment.php'; $mysqli=new mysqli("localhost", "root", "password, "user1", 3306); $mysqli->set_charset("utf8"); //使用预编译从数据库中查询 //使用预处理的方法,查询所有ID>5的用户 $sql="select id,name,email from us
mysqli使用预处理技术进行数据库查询的方法
php菜鸟技术天地
05-12 2186
php5.6版本以上 这里实现查询所有 id>5 的 id,title,contents值: <?php $mysqli = new MySQLi("localhost","root","123456","liuyan"); if(!$mysqli){  die($mysqli->error); } //创建一个预定义的对象 ?占位 $sql = "select id,titl
实例 (MySQLi 使用预处理语句)
zt_vicky的博客
01-06 740
$servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDB"; // 创建连接 $conn = newmysqli($servername, $username, $password, $dbname); // 检测连接 if ($conn->connect_error) { 
【开发】php7使用mysqli预编译sql查询demo
x1a0he1的博客
02-05 814
预编译技术可以提高数据库效率,防止sql注入攻击。下面是一个mysqli的预编译查询demo。 【数据库情况】 这里假设我有一个test库,里面有一个user表,表中有id(int),username(string),money(double),sex(string),age(int)五列。 其中有一条数据是(id=1,username=‘admin’,money=1.23,sex=‘男’,age...
mysqli预处理实现增删改查
小周周i的博客
08-11 814
<?php //预处理实现添加(删改同类) $mysqli=new mysqli('localhost','root','root','test'); $mysqli->query("set names utf8"); //创建预编译对象 $sql="insert into user1(name,password,email,age) values (?,?,?,?)"; $mysqli_stmt
MySQLI预处理(两种风格)
qq_45917176的博客
06-16 510
MySQLI预处理(面向过程风格) <?php class DB { static $host = "localhost"; static $user = "root"; static $pass = "123456"; static $dbname = "test"; static function conn() { $link = mysqli_connect(self::$host, self::$user, self::$pass
php mysql预处理_php mysqli扩展之预处理
weixin_42545292的博客
01-28 202
在前一篇mysqli基础知识中谈到mysqli的安装及基础操作(主要是单条sql语句的查询操作),今天介绍的是mysqli中很重要的一个部分:预处理。在mysqli操作中常常涉及到它的三个主要类:MySQLi类,MySQL_STMT类,MySQLi_RESULT类。预处理主要是利用MySQL_STMT类完成的。预处理是一种重要的 防止SQL注入的手段,对提高网站安全性有重要意义。本文案例为 数据...
mysql424_424-MYSQLI预处理
weixin_30652105的博客
01-20 88
预处理* 1.预处理技术,可以将动态变量,从SQL语句中的分离出来,单独操作* 2.解决了SQL注入的安全问题* 3.预处理操作是通过一个叫预处理对象的工具来操作的: STMT基本步骤:* 1.创建stmt预处理对象 * 2.检测SQL语句 * 3.参数绑定 * 4.执行查询 * 5.注销stmt预处理对象 * 6.关闭数据库连接新增写操作--INSERT实例//1.连接数据库require'm...
mysqli预处理增删改查
最新发布
06-01
以下是使用MySQLi预处理语句的示例: 1. 连接数据库 ```php $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDB"; // 创建连接 $conn = mysqli_connect($servername, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值