mysqli 预处理的增删查---4.24日作业

总结 ：mysqli 的预处理是为了解决sql注入的安全问题，通过对象工具stmt 来操作的  

基本步骤:

 * 1.创建stmt预处理对象

$stmt = mysqli_stmt_init($db);

 * 2.检测SQL语句

$sql = "INSERT IGNORE staff SET name=?, sex=?, age=?,salary=?;";

 * 3.参数绑定

 mysqli_stmt_bind_param($stmt, 'i',$salary);

 * 4.执行查询，获取结果集

mysqli_stmt_execute($stmt);

mysqli_stmt_store_result($stmt);

 * 5.注销stmt预处理对象

mysqli_stmt_close($stmt);

 * 6.关闭数据库连接

mysqli_close($db);

实例

<?php
/* 配置数据库连接参数
*/header("Content-Type:text/html;charset=utf-8");
 define('DB_HOST','localhost');
 define('DB_USER','root');
 define('DB_PASS','');
 define('DB_NAME','php');
 define('DB_CHAR','utf8');

 $db = mysqli_connect(DB_HOST,DB_USER,DB_PASS,DB_NAME);
 if(mysqli_connect_errno($db)){
 	exit('连接失败'.mysqli_connect_error($db));
 }
mysqli_set_charset($db,DB_CHAR);
 /**
 * 预处理
 * 1.预处理技术,可以将动态变量,从SQL语句中的分离出来,单独操作
 * 2.解决了SQL注入的安全问题
 * 3.预处理操作是通过一个叫预处理对象的工具来操作的: STMT
 *
 * 基本步骤:
 * 1.创建stmt预处理对象
 * 2.检测SQL语句
 * 3.参数绑定
 * 4.执行查询
 * 5.注销stmt预处理对象
 * 6.关闭数据库连接
 *
 * 写操作:以INSERT为例,UPDATE/DELETE与之类似,仅语句不同罢了
 */
//准备sql语句，将变量部分使用占位符代理
$sql = "INSERT IGNORE staff SET name=?, sex=?, age=?,salary=?;";
$name = '西施';
$sex = 0;
$age = 28;
$salary = 4800;
//$sql = "DELETE FROM staff WHERE name=?";
//$id = 9;
//$name = "武松";
//3.创建并初始化预处理对象stmt
$stmt = mysqli_stmt_init($db);

//4.用stmt对象检测预处理语句是否正确,成功返回true,错误返回false
if (mysqli_stmt_prepare($stmt, $sql)) {

    /* 将变量与SQL语句中的占位符进行绑定 */
    mysqli_stmt_bind_param($stmt, "siii", $name,$sex,$age,$salary);

    /* 执行SQL语句 */
    if (mysqli_stmt_execute($stmt)) {
        //判断是否执行成功:受影响的记录数量
       if (mysqli_stmt_affected_rows($stmt) > 0) {
           echo '新增成功,主键是:'.mysqli_stmt_insert_id($stmt);
       } else {
           echo '没有新增任何数据';
       }
    } else { //返回SQL执行阶段的错误
        exit(mysqli_stmt_errno($stmt).':'.mysqli_stmt_error($stmt));
    }
} else { //返回SQL检测阶段的错误
    exit(mysqli_stmt_errno($stmt).':'.mysqli_stmt_error($stmt));
}
/* 注销stmt对象 */
mysqli_stmt_close($stmt);

/* 关闭数据库连接 */
mysqli_close($db);
?>