php_pdo 预处理语句详解

2018-09-21 21:30

阅读:521

  这篇文章主要介绍的是关于php_pdo 预处理语句,下面话不多说,我们来看看详细的内容。

  一、预处理语句可以带来两大好处:

  1、查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化
执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大
大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因
而运行得更快。

  2、提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会
发生SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。

  二、预处理实例:

   <?php //?号式的预处理语句 一共有3种绑定方式 //1.连接数据库 try{ $pdo = new PDO(mysql:host=localhost;dbname=jikexueyuan,root,); }catch(PDOException $e){ die(数据库连接失败.$e->getMessage()); } //2.预处理的SQL语句 $sql = insert into stu(id,name,sex,age) values(?,?,?,?); $stmt = $pdo->prepare($sql); //3.对?号的参数绑定 //(第一种绑定方式) /* $stmt->bindValue(1,null); $stmt->bindValue(2,test55); $stmt->bindValue(3,w); $stmt->bindValue(4,22); */ //第二种绑定方式 /* $stmt->bindParam(1,$id); $stmt->bindParam(2,$name); $stmt->bindParam(3,$sex); $stmt->bindParam(4,$age); $id=null; $name=test66; $sex=m; $age=33; */ //第三种绑定方式 //$stmt->execute(array(null,test77,22,55)); //4.执行 $stmt->execute(array(null,test77,22,55)); echo $stmt->rowCount(); <?php //别名式号式的预处理语句 一共有3种绑定方式 //1.连接数据库 try{ $pdo = new PDO(mysql:host=localhost;dbname=jikexueyuan,root,); }catch(PDOException $e){ die(数据库连接失败.$e->getMessage()); } //2.预处理的SQL语句 $sql = insert into stu(id,name,sex,age) values(:id,:name,:sex,:age); $stmt = $pdo->prepare($sql); //3.对?号的参数绑定 //(第一种绑定方式) /* $stmt->bindValue(id,null); $stmt->bindValue(name,ceshi1); $stmt->bindValue(sex,w); $stmt->bindValue(age,22); */ //第二种绑定方式 /* $stmt->bindParam(id,$id); $stmt->bindParam(name,$name); $stmt->bindParam(sex,$sex); $stmt->bindParam(age,$age); $id=null; $name=ceshi2; $sex=m; $age=33; */ //第三种绑定方式 //$stmt->execute(array(null,test77,22,55)); //4.执行 $stmt->execute(array(id=>null,name=>ceshi3,sex=>w,age=>66)); echo $stmt->rowCount(); <?php //采用预处理SQL执行查询,并采用绑定结果方式输出 //1.连接数据库 try{ $pdo = new PDO(mysql:host=localhost;dbname=jikexueyuan,root,); }catch(PDOException $e){ die(数据库连接失败.$e->getMessage()); } //2.预处理的SQL语句 $sql = select id,name,sex,age from stu; $stmt = $pdo->prepare($sql); //3.执行 $stmt->execute(); $stmt->bindColumn(1,$id); $stmt->bindColumn(2,$name); $stmt->bindColumn(sex,$sex); $stmt->bindColumn(age,$age); while($row=$stmt->fetch(PDO::FETCH_COLUMN)){ echo {$id}:{$name}:{$sex}:{$age}<br>; } /* foreach($stmt as $row){ echo $row[id].--------.$row[name].<br>; } */

  最佳方式:

   //1.连接数据库 try{ $pdo = new PDO(mysql:host=localhost;dbname=jikexueyuan,root,); }catch(PDOException $e){ die(数据库连接失败.$e->getMessage()); } //2.预处理的SQL语句 $sql = select catid,catname,catdir from cy_category where parentid = :parentid; $stmt = $pdo->prepare($sql); $params = array( parentid => $subcatid ); $stmt->execute($params); //$row = $stm->fetchAll(PDO::FETCH_ASSOC); while($row=$stmt->fetch(PDO::FETCH_ASSOC)){ var_dump($row); echo <br>; }

  预处理批量操作实例:

   <?php //用预处理语句进行重复插入 //下面例子通过用 name 和 value 替代相应的命名占位符来执行一个插入查询 $stmt = $dbh->prepare(INSERT INTO REGISTRY (name, value) VALUES (:name, :value)); $stmt->bindParam(:name, $name); $stmt->bindParam(:value, $value); // 插入一行 $name = one; $value = 1; $stmt->execute(); // 用不同的值插入另一行 $name = two; $value = 2; $stmt->execute(); //用预处理语句进行重复插入 //下面例子通过用 name 和 value 取代 ? 占位符的位置来执行一条插入查询。 $stmt = $dbh->prepare(INSERT INTO REGISTRY (name, value) VALUES (?, ?)); $stmt->bindParam(1, $name); $stmt->bindParam(2, $value); // 插入一行 $name = one; $value = 1; $stmt->execute(); // 用不同的值插入另一行 $name = two; $value = 2; $stmt->execute(); //使用预处理语句获取数据 //下面例子获取数据基于键值已提供的形式。用户的输入被自动用引号括起来,因此不会有 SQL 注入攻击的危险。 $stmt = $dbh->prepare(SELECT * FROM REGISTRY where name = ?); if ($stmt->execute(array($_GET[name]))) { while ($row = $stmt->fetch()) { print_r($row); } } ?>

  总结

  以上就是这篇文章的全部内容了,希望本文的内容对大家学习或者使用php能有所帮助,如果有疑问大家可以留言交流。


评论


亲,登录后才可以留言!