PHP--PDO預處理語句與預存程序

很多更成熟的資料庫都支援預處理語句的概念。什麼是預處理語句？可以把它看作是想要運行的 SQL 的一種編譯過的模板，它可以使用變數參數來客製化。預處理語句可以帶來兩大好處：

查詢僅需解析（或預處理）一次，但可以用相同或不同的參數執行多次。當查詢準備好後，資料庫將分析、編譯和最佳化執行該查詢的計畫。對於複雜的查詢，此過程要花費較長的時間，如果需要以不同參數多次重複相同的查詢，那麼該過程將大大降低應用程式的速度。透過使用預處理語句，可以避免重複分析/編譯/最佳化週期。簡言之，預處理語句佔用較少的資源，因而運作得更快。

提供給預處理語句的參數不需要用引號括起來，驅動程式會自動處理。如果應用程式只使用預處理語句，可以確保不會發生SQL 注入。 （然而，如果查詢的其他部分是由未轉義的輸入來建構的，則仍存在 SQL 注入的風險）。

預處理語句如此有用，以至於它們唯一的特性是在驅動程式不支援的時候PDO 將模擬處理。這樣可以確保不管資料庫是否具有這樣的功能，都可以確保應用程式可以用相同的資料存取模式。

Example #1 用預處理語句進行重複插入

下面例子透過用 name 和 value 取代對應的命名佔位符來執行一個插入查詢

<?php
    $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
    $stmt->bindParam(&#39;:name&#39;, $name);
    $stmt->bindParam(&#39;:value&#39;, $value);
    // 插入一行
    $name = &#39;one&#39;;
    $value = 1;
    $stmt->execute();
    // 用不同的值插入另一行
    $name = &#39;two&#39;;
    $value = 2;
    $stmt->execute();
?>

Example #2 用預處理語句進行重複插入查詢

<?php
    $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
    $stmt->bindParam(1, $name);
    $stmt->bindParam(2, $value);
    // 插入一行
    $name = &#39;one&#39;;
    $value = 1;
    $stmt->execute();
    // 用不同的值插入另一行
    $name = &#39;two&#39;;
    $value = 2;
    $stmt->execute();
?>

Example #2 用預處理語句進行重複插入透過以 name 和 value 取代 ? 佔位符的位置來執行一則插入查詢。

<?php
    $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
    if ($stmt->execute(array($_GET[&#39;name&#39;]))) {
        while ($row = $stmt->fetch()) {
            print_r($row);
        }
    }
?>

Example #3 使用預處理語句取得資料

下面範例取得資料基於鍵值已提供的形式。使用者的輸入會自動用引號括起來，因此不會有 SQL 注入攻擊的危險。

<?php
    $stmt = $dbh->prepare("CALL sp_returns_string(?)");
    $stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000);
    // 调用存储过程
    $stmt->execute();
    print "procedure returned $return_value\n";
?>

如果資料庫驅動支持，應用程式還可以綁定輸出和輸入參數。輸出參數通常用於從預存程序獲取值。輸出參數使用起來比輸入參數稍微複雜一些，因為當綁定一個輸出參數時，必須知道給定參數的長度。如果為參數綁定的值大於建議的長度，就會產生一個錯誤。

Example #4 帶輸出參數呼叫預存程序

<?php
    $stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");
    $value = &#39;hello&#39;;
    $stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000);
    // 调用存储过程
    $stmt->execute();
    print "procedure returned $value\n";
?>

還可以指定同時具有輸入和輸出值的參數，其語法類似於輸出參數。在下一個範例中，字串「hello」傳遞給預存程序，當預存程序傳回時，hello 被替換為該預存程序傳回的值。

Example #5 帶輸入/輸出參數呼叫預存程序

<?php
    $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE &#39;%?%&#39;");
    $stmt->execute(array($_GET[&#39;name&#39;]));
    // 占位符必须被用在整个值的位置
    $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
    $stmt->execute(array("%$_GET[name]%"));
?>

Example #6 帶輸入/輸出參數呼叫預存程序

rrreee

Example #6 佔位符的無效使用
rrreee

🎜🎜