php中mysql参数绑定详解

最新推荐文章于 2021-03-10 16:22:20 发布
最新推荐文章于 2021-03-10 16:22:20 发布
阅读量9.6k 收藏 1
点赞数 1
分类专栏: mysql php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzchenxiao/article/details/40188281
版权
php 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
mysql
2 篇文章 0 订阅
订阅专栏

参数绑定详解

CDbCommand表示一个针对数据库执行的SQL语句,CDbCommand支持SQL语句预处理和参数绑定。 调用 bindParam 去绑定一个PHP变量到SQL中的一个参数。 调用 bindValue 去绑定一个值到一个SQL参数。 当绑定一个参数时,此SQL语句将自动准备好。 也可以调用prepare去明确的准备一条SQL语句。

 

参数形式:

1、  普通绑定

以变量命名的占位符:

<?php
/* Execute a prepared statement by binding PHP variables */
$calories 150;
$colour 'red';
$sth $dbh->prepare('SELECT name, colour, calories
    FROM fruit
    WHERE calories < :calories AND colour = :colour');
$sth->bindParam(':calories'$caloriesPDO::PARAM_INT);
$sth->bindParam(':colour'$colourPDO::PARAM_STR12);
$sth->execute();
?>

未标记的占位符:

<?php
/* Execute a prepared statement by binding PHP variables */
$calories 150;
$colour 'red';
$sth $dbh->prepare('SELECT name, colour, calories
    FROM fruit
    WHERE calories < ? AND colour = ?');
$sth->bindParam(1$caloriesPDO::PARAM_INT);
$sth->bindParam(2$colourPDO::PARAM_STR12);
$sth->execute();
?>

 

2、  使用循环的方式绑定参数时,参数绑定的是地址不是值

正确:

<?php

foreach($params as $key => &$val) {

$sth->bindParam($key, $val);

}

?>

失败:($val by value, because bindParam needs&$variable):

<?php

foreach ($params as $key => $val) {

  $sth->bindParam($key, $val);

}

 

3、 like绑定

错误:

"SELECT* FROM `users` WHERE `firstname` LIKE '%:keyword%'";

没有%时"SELECT * FROM `users` WHERE`firstname` LIKE :keyword";

这样是可以的

如果有%那么必须先将$keyword ="%".$keyword."%";

命名为另一个变量然后在绑定就可以。

例如:


备注:以上变量占位符与?占位符不能混用,否则会报错。

4、  in的绑定方案

在in包含数据是整数时,


例如这一个,返回的数据只有25相关的,只提取了第一个,之前的数据。

所以在绑定in时,需要将in里面的每一个变量单独绑定才能真实的出现所需完整数据。


利用的是?占位符的无命名性来先统计数据个数,然后在循环绑定。所以in中的数据必须是每一个都能实体的数据。

绑定普通字符串时:


 

xzchenxiao
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自定义PHPMysql参数绑定执行
AppleEngineer
12-26 2008
PHP使用Mysql的时候觉得sql参数需要绑定的时候觉得比较麻烦,于是自己上网看资料做成了一个多参数传入绑定的方法,暂时可以使用了,后面会继续针对这个机制进行修缮。这个查询的时候回绑定数据库里面的字段名,查询出来的时候会是键值对的形式,作为一个后台服务,查询数据做成JSON的时候是比较好用的。 /** * 执行SQL语句 * * @param 数据库连接 $dbLink
php mysql bind_PHP mysqli_stmt_bind_param() 函数用法及示例
weixin_42357256的博客
02-02 3251
PHP mysqli_stmt_bind_param() 函数用法及示例mysqli_stmt_bind_param()函数将变量作为参数绑定到预处理语句。定义和用法mysqli_stmt_bind_param()函数用于将变量绑定到准备好的语句的参数标记。语法mysqli_stmt_bind_param($stmt,$types,$var1,$var2...);参数序号参数及说明1stm...
php mysql 参数绑定_PHP5 mysqli 绑定参数
weixin_39610807的博客
01-28 346
所谓绑定参数就是把PHP脚本的自定义变量绑定SQL语句参数(参数使用 “?”代替)上,绑定参数使用bind_param()方法,该方法的语法格式如下:bool bind_param ( string $types , mixed &$var1 [, mixed &$... ] )在上述语法涉及到的参数说明如下。types:绑定的变量的数据类型,它接受的字符种类包括4个,如...
PHP使用SQL绑定变量
水浸街
08-22 2857
什么是SQL绑定变量?     百度百科的解释是:在sql语句的条件使用变量而不是常量。比如shared pool里有两条sql语句
in的绑定 mysql_phpMySQL IN语句的PDO绑定
weixin_29054523的博客
02-16 107
我有一个问题,PDO,我真的想得到一个答案后,困扰了相当一段时间。以这个例子:我绑定一个ID的数组到一个PDO语句用于MySQL IN语句。数组将是:$ values = array(1,2,3,4,5,6,7,8);数据库安全变量将是$ products = implode(‘,’$ values);因此,$ products将是一个STRING,值为:’1,2,3,4,5,6,7,8′语句将如...
PHP使用PDO实现mysql防注入功能详解
10-15
PDO的`quote`方法可以用来转义字符串的特殊字符,避免它们被解析为SQL语法。例如,`$pdo->quote($username)`将确保变量$username的单引号(')被转义成反斜杠加单引号(\'),这样即使用户输入特殊字符,也不会...
企业网站(php,mysql
最新发布
12-21
5. **域名绑定和SSL证书**:如果是在生产环境,需要配置域名解析和安装SSL证书,确保网站可以通过域名访问且通信安全。 6. **错误检查和测试**:在部署后进行全面的功能和性能测试,确保所有功能正常运行。 在...
php mysql PDO 查询操作的实例详解
10-19
在本实例,我们将深入探讨如何使用PDO进行MySQL数据库的查询操作。 首先,要建立与MySQL服务器的连接,我们可以使用以下代码: ```php $dbh = new PDO('mysql:host=localhost;dbname=access_control', 'root', '...
PHPMysql练习题.rar
09-25
3. **预处理语句**:预处理语句可以防止SQL注入,例如使用 `prepare()` 准备SQL,`execute()` 执行,`bind_param()` 绑定参数。 4. **事务处理**:通过 `begin_transaction()`, `commit()`, `rollback()` 实现事务的...
php+mysql动态网站开发实例 源码
01-11
7. **安全性**:如何防止SQL注入,使用预处理语句(如`mysqli_prepare()`)和参数绑定,以及对用户输入进行过滤和转义。 8. **错误处理和日志记录**:确保在遇到问题时能够记录并报告错误,有助于调试和维护。 9. ...
php多个参数绑定,自定义PHPMysql参数绑定执行
weixin_39781945的博客
03-10 796
PHP使用Mysql的时候觉得sql参数需要绑定的时候觉得比较麻烦,于是自己上网看资料做成了一个多参数传入绑定的方法,暂时可以使用了,后面会继续针对这个机制进行修缮。这个查询的时候回绑定数据库里面的字段名,查询出来的时候会是键值对的形式,作为一个后台服务,查询数据做成JSON的时候是比较好用的。/*** 执行SQL语句** @param 数据库连接 $dbLink* @param SQL语...
PHP】使用参数绑定防止SQL注入
花开不败
01-06 1205
<?php try{ $pdo = new PDO('mysql:host=localhost;dbname=mydb', 'root', 'root'); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); }catch(PDOException $e){ d
mysql bind_param_如何在PHP动态绑定mysqli bind_param参数
weixin_36308751的博客
01-21 584
我一直在学习为我的sql查询使用准备和绑定的语句,我已经出来了这个到目前为止,它的工作正常,但它是不是动态的,当涉及到多个参数或没有任何参数需要时,public function get_result($sql,$parameter){# create a prepared statement$stmt = $this->mysqli->prepare($sql);# bind par...
php mysql 绑定变量的值_PHP使用SQL绑定变量 by 梁宇
weixin_35725138的博客
02-28 256
第1页PHP使用SQL绑定变量梁宇http://blog.csdn.net/rilyu第2页什么是SQL绑定变量指在sql语句的条件使用变量而不是常量。比如sharedpool里有两条sql语句:select*fromtab1wherecol1=1;select*fromtab1wherecol1=2;对oracle数据库来说,这是两条完全不同的SQL,对这两条语句都需要进...
php参数绑定参数,php mysqli 预处理 如何绑定参数
weixin_34729012的博客
03-10 299
php mysqli 预处理 怎么绑定参数/***php预处理执行sql*$sql[String]sql语句*$args[array]参数*/publicfunctionexeSql($sql,$args){$mysqli_stmt=$mysqli->prepare($sql);//由于$sql由调用者传入,所以sql语句参数个数都不确定//疑问1:怎么获取参数类型呢?php...
php sql语句参数吗,PHP YII手写带参数sql的执行
weixin_35823067的博客
03-09 119
以下是一个例子,参数sql的执行,采用绑定参数的方式,这样可以防止注入语句:/*** Add score, true if successful, false if failed.* @param $userId* @param $topicId* @param $score* @param $msg*/public function addScore($userId,$topicId,$...
数据库为啥要使用参数绑定
qimo601的专栏
08-14 516
存储过程(Stored Procedure)是在大型数据库系统,一组为了完成特定功能的SQL 语句集,经编译后存储在数据库,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。   1. 为什么使用绑定变量? 这是解决Oracle应用程序可伸缩性的一个关键环节;而Oracle的共享池就决定了开发人员必须使用绑定变量;如果想要Oracle 运行减慢,甚至完全终止...
php学习之prepare查询数据库
shawshank_bingo的博客
12-22 882
参考网址:http://www.jb51.net/article/59068.htm 这个我想最大的好处是比起直接利用 query 可以减少许多安全性的问题,首先,我们利用 prepare 进行 SQL 码的设定,在利用bindparm 来进行设定的动作,代码如下: $sth = $dbh->prepare('update db set zh_CN= :str where SN=:
sql参数绑定
a_haoGG的博客
06-02 4288
参数绑定就是绑定一个PHP变量到用作预处理的SQL语句的对应命名占位符或问号占位符。可以有效的防止SQL注入。 注:要求无论何时尽量使用参数绑定的形式来构建SQL语句 在系统直接运行SQL语句操作数据库的函数(pdo_fetch()、pdo_fetchall()、pdo_fetchcolumn()、pdo_query())需要开发人员手动绑定参数,以 pdo_fetch() 函数为例
PHPMySQL数据库.ppt
06-24
在这个例子,预处理语句和参数绑定确保了用户输入的数据不会干扰SQL语句的结构,提高了安全性。 PHPMySQL数据库的交互涉及多个层面,包括网络通信、数据库连接、SQL查询以及数据的处理和展示。理解这些概念对于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值