Home > List of blog posts > PDO预处理对数据的操作(增删查改)

Blogger Information

Blog 77

fans 0

comment 0

visits 55217

Special Recommendation

More>

Related recommendations

一、PDO预处理对数据的操作(增删查改)

什么是预处理

PDO预处理语句(prepared statement)机制，是将一条SQL命令向数据库服务器发送一次（此时发送的参数不是实参，是占位符），以后参数发生变化，数据库服务器只需对命令的结构做一次分析就够了。
对于复杂的查询，此过程要花费较长的时间，如果需要以不同参数多次重复相同的查询，那么该过程将大大降低应用程序的速度。通过使用预处理语句，可以避免重复分析/编译/优化周期。简言之，预处理语句占用更少的资源，因而运行得更快
// 预处理机制，sql中的数据使用占位符
// 命名参数占位符，文号参数占位符
预处理能防止SQL注入

传统处理

php文件

// 数据库的操作
require __DIR__ . '/config/connect.php';
$user = json_decode(file_get_contents('php://input'), true);
$uname = $user['username'];
$pwd = sha1($user['password']);
$sql = "select * from user where uname = '{$uname}' and pwd = '{$pwd};";
//echo $sql;
print_r($db->query($sql)->fetchAll());

从以上截图可以得知，用户在前端可以通过输入相关编译码，获取到不可思议的数据。

预处理

php文件

// 预处理机制，sql中的数据使用占位符
// 命名参数占位符，文号参数占位符
// 预处理sql语句
// $sql = 'INSERT user VALUES(null, :uname, :pwd, :status);';
$sql = 'SELECT * FROM user WHERE uname=? AND pwd=?';
// 预处理要执行的语句，并返回语句对象 (PDOStatement)
$stmt = $db->prepare($sql);
// 将具体的值绑定到占位符参数上
$stmt->bindValue(1,$uname);
$stmt->bindValue(2, $pwd);
if ($stmt->execute())
{
    $users = $stmt->fetchAll();
    echo json_encode($users);
} else {
    die('查询失败：' . $stmt->errorInfo());
}

通过pdo预处理，应用程序只使用预处理语句，可以防止发生SQL注入。

1、INSERT：新增


// ! 新增数据
// 预处理机制，sql中的数据使用占位符
// 命名参数占位符，文号参数占位符
// 预处理sql语句
$sql = 'INSERT user VALUES(null, :uname, :pwd, :status);';
// 预处理要执行的语句，并返回语句对象 (PDOStatement)
$stmt = $db->prepare($sql);
// 将具体的值绑定到占位符参数上
$stmt->bindValue(':uname','隔壁老李11');
$stmt->bindValue(':pwd', sha1('123'));
$stmt->bindValue(':status',1);
if ($stmt->execute())
{
    // 打印一条sql预处理命令
    // $stmt->debugDumpParams();
    echo '新增成功，新记录的主键id=' . $db->lastInsertId();
} else {
    $stmt->errorInfo();
}

2、SELECT：查询

$sql = 'SELECT id,uname FROM user WHERE id > ?';
// 预处理要执行的语句，并返回语句对象 (PDOStatement)
$stmt = $db->prepare($sql);
// 将具体的值绑定到占位符参数上
$stmt->bindValue(1, 10);
if ($stmt->execute())
{
    // 返回受上一个SQL语句影响的行数
    // 1. 逐条 fetch + while
    // 2. 多条 fetchAll + foreach
    $users = $stmt->fetchAll();
    foreach($users as $user)
    {
        extract($user);
        vprintf("%d: %s\n", [$id,$uname]);
    }
} else {
    die('查询失败：' . $stmt->errorInfo());
}

3、DELETE：删除

// ! 删除数据
$sql = 'delete from user where id = ? ';
if(!stristr($sql, 'where')){
    die('禁止无条件删除');
}
// 预处理要执行的语句，并返回语句对象 (PDOStatement)
$stmt = $db->prepare($sql);
$stmt->bindValue(1,5);
if ($stmt->execute())
{
    if($stmt->rowCount()>0){
        echo '删除成功';
    } else {
        echo '没有记录被删除';
    }
} else {
    die('删除失败：' . $stmt->errorInfo());
}

4、UPDATE：更新

// ! 更新数据
$sql = 'UPDATE user SET status = ? WHERE uname = ? ;';
// 预处理要执行的语句，并返回语句对象 (PDOStatement)
$stmt = $db->prepare($sql);
$stmt->bindValue(1, 2);
$stmt->bindValue(2,'隔壁老李1');
if ($stmt->execute())
{
    if($stmt->rowCount()>0){
        echo '更新成功' . $stmt->rowCount() . '条数据';
    }else {
        echo '没有更新数据';
    }
}

占位符使用方法：

方法1：将具体的值绑定到占位符上

$sql = 'INSERT user VALUES(null, :uname, :pwd, :status);';
// 将具体的值绑定到占位符参数上
$stmt->bindValue(':uname','隔壁老李11');
$stmt->bindValue(':pwd', sha1('123'));
$stmt->bindValue(':status',1);

方法2：按顺序绑定到占位符上

$sql = 'SELECT * FROM user WHERE uname=? AND pwd=?';
$stmt->bindValue(1, $uname);
$stmt->bindValue(2, $pwd);

Correcting teacher：

PHPz

Correction status：qualified

Teacher's comments：

Statement of this Website

The copyright of this blog article belongs to the blogger. Please specify the address when reprinting! If there is any infringement or violation of the law, please contact admin@php.cn Report processing!

All comments Speak rationally on civilized internet, please comply with News Comment Service Agreement

0 comments

Author's latest blog post

匿名函数与命名空间_0929

2019-10-08 13:01:48