Dieser Artikel gibt Ihnen eine detaillierte Einführung in die vorbereiteten Anweisungen für den Betrieb von Datenbanken in PHP (mit Code). Es hat einen gewissen Referenzwert. Freunde in Not können sich darauf beziehen. Ich hoffe, es wird für alle hilfreich sein.
Vorverarbeitungsanweisungen für den Betrieb von Datenbanken in PHP
Der Inhalt des heutigen Artikels ist jedoch eigentlich sehr einfach. In der modernen Entwicklung verwendet jedoch jeder Frameworks, und nur wenige Leute packen es selbst Datenbankoperationscode. Daher werden wir dieses Mal den Inhalt vorbereiteter Anweisungen in zugehörigen Erweiterungen in der Datenbank überprüfen.
Was sind vorbereitete Stellungnahmen?
Eine vorbereitete Anweisung kann man sich als kompilierte Vorlage der SQL-Anweisung vorstellen, die Sie ausführen möchten, die mithilfe variabler Parameter gesteuert werden kann. Vorbereitete Anweisungen können zwei große Vorteile bringen:
Abfragen müssen nur einmal geparst (oder vorverarbeitet) werden, können aber mehrmals mit denselben oder unterschiedlichen Parametern ausgeführt werden. Wenn eine Abfrage bereit ist, analysiert, kompiliert und optimiert die Datenbank den Plan zur Ausführung der Abfrage. Dieser Vorgang dauert bei komplexen Abfragen länger und kann Ihre Anwendung erheblich verlangsamen, wenn dieselbe Abfrage mehrmals mit unterschiedlichen Parametern wiederholt werden muss. Durch die Verwendung vorbereiteter Anweisungen können Sie wiederholte Analyse-/Kompilierungs-/Optimierungszyklen vermeiden. Einfach ausgedrückt verbrauchen vorbereitete Anweisungen weniger Ressourcen und werden daher schneller ausgeführt.
Parameter, die für vorbereitete Anweisungen bereitgestellt werden, müssen nicht in Anführungszeichen gesetzt werden, der Treiber verarbeitet sie automatisch. Wenn Ihre Anwendung nur vorbereitete Anweisungen verwendet, können Sie sicher sein, dass keine SQL-Injection erfolgt. (Wenn jedoch andere Teile der Abfrage aus nicht maskierten Eingaben erstellt werden, besteht immer noch das Risiko einer SQL-Injection.)
Der obige Inhalt ist ein Auszug aus der offiziellen Dokumentation. Tatsächlich besteht der intuitivste Vorteil vorbereiteter Anweisungen darin, dass sie SQL-Injection wirksam verhindern können. Was den Inhalt der SQL-Injection betrifft, werden wir ihn beim Erlernen von MySQL in Zukunft eingehend untersuchen, daher werde ich ihn hier nicht zu sehr vorstellen. Wie auch immer, vorbereitete Anweisungen können diese Arbeit vervollständigen.
PDO betreibt vorbereitete Anweisungen
Unter den PHP-Erweiterungen ist PDO bereits die gängige Kernbibliothek für Datenbankerweiterungen, und natürlich ist auch die Unterstützung für vorbereitete Anweisungen sehr umfassend.
$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', '');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// :xxx 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->bindParam(':salt', $salt);
$username = 'one';
$password = '123123';
$salt = 'aaa';
$stmt->execute();
$username = 'two';
$password = '123123';
$salt = 'bbb';
$stmt->execute();Nach dem Login kopieren
Im Code verwenden wir die Prepare()-Methode, um vorbereitete Anweisungen zu definieren, die ein PDOStatement-Objekt zurückgibt. Verwenden Sie Platzhaltersymbole wie :xxx in vorbereiteten Anweisungen und binden Sie Variablen extern an diese Platzhalter, indem Sie die bindParam()-Methode des PDOStatement-Objekts verwenden. Schließlich wirdexecute() verwendet, um die SQL-Anweisung tatsächlich auszuführen.
Anhand dieses Codes können wir die beiden Hauptvorteile vorbereiteter Anweisungen erkennen. Das erste sind Platzhalter, da wir in SQL-Anweisungen keine einfachen Anführungszeichen schreiben müssen. Einfache Anführungszeichen sind oft die Hauptursache für SQL-Injection-Schwachstellen. Die bindParam()-Methode konvertiert automatisch den Typ der gebundenen Daten. Natürlich kann die bindParam()-Methode auch den gebundenen Datentyp in den optionalen Parametern angeben, was unseren Code sicherer machen kann. Sie können die relevanten Dokumente überprüfen.
Ein weiterer Vorteil ist die Fähigkeit von Vorlagen. Wir definieren nur ein PDOStatement-Objekt und können dann durch Ändern des Dateninhalts die Methode „execute()“ mehrmals verwenden, um die vorbereitete Anweisung auszuführen.
Es gibt eine andere Möglichkeit, Platzhalter zu schreiben, nämlich die Verwendung eines Fragezeichens als Platzhaltersymbol. In diesem Fall muss der Schlüsselname der bindParam()-Methode einen numerischen Index verwenden. Hierbei ist zu beachten, dass die numerischen Indizes bei 1 beginnen.
// ? 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)");
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);
$username = 'three';
$password = '123123';
$salt = 'ccc';
$stmt->execute();Nach dem Login kopieren
In unserer Abfrage können wir auch problemlos die Funktion vorbereiteter Anweisungen zum Abfragen von Daten nutzen. Hier verwenden wir „execute()“ direkt, um Parameter für den Platzhalter zu übergeben.
// 查询获取数据
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");
$stmt->execute(['username'=>'one']);
while($row = $stmt->fetch()){
print_r($row);
}Nach dem Login kopieren
MySQL betreibt vorbereitete Anweisungen
Obwohl der Mainstream PDO ist und die meisten Frameworks PDO verwenden, verwenden wir MySQL immer noch für eine schnelle Entwicklung, wenn wir Skripte schreiben oder einige Funktionen schnell testen müssen. Natürlich unterstützt MySQL auch vorbereitete Anweisungsfunktionen.
// mysqli 预处理
$conn = new mysqli('127.0.0.1', 'root', '', 'blog_test');
$username = 'one';
$stmt = $conn->prepare("select username from zyblog_test_user where username = ?");
$stmt->bind_param("s", $username);
$stmt->execute();
echo $stmt->bind_result($unames);
var_dump($unames);
while ($stmt->fetch()) {
printf("%s\n", $unames);
}Nach dem Login kopieren
Es ist ersichtlich, dass neben den unterschiedlichen Methodennamen in mysqli auch die Schlüsselnamen der Bindungsparameter nicht genau gleich sind. Hier verwenden wir den Fragezeichen-Platzhalter. In der Methode bind_param() wird s verwendet Stellt die Symbolposition dar. Wenn mehrere Parameter vorhanden sind, sollte sie als sss ... wie folgt geschrieben werden.
Zusammenfassung
Die Fähigkeit, Anweisungen vorzubereiten, wurde für uns im aktuellen Framework gekapselt. Tatsächlich müssen wir uns nicht allzu sehr darum kümmern, genau wie bei der Verwendung von DB::select() in Laravel, um eine Datenbank auszuführen Operationen, wir Sie können die Anwendung vorbereiteter Anweisungen sehen.
Sie können die Methode select() in Vendor/laravel/framework/src/Illuminate/Database/Connection.php selbst überprüfen.
Testcode:
https://github.com/zhangyue0503/dev-blog/blob/master/php/202008/source/PHP%E4%B8%AD%E6%93%8D%E4%BD%9C%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E9%A2%84%E5%A4%84%E7%90%86%E8%AF%AD%E5%8F%A5.php
Nach dem Login kopieren
Empfohlenes Lernen: php-Video-Tutorial
Das obige ist der detaillierte Inhalt vonDetaillierte Einführung in Vorverarbeitungsanweisungen für den Betrieb von Datenbanken in PHP (mit Code). Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
