這篇文章主要介紹的是關於php_pdo 預處理語句,下面話不多說,我們來看看詳細的內容。
一、預處理語句可以帶來兩大好處:
1、查詢僅需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢準備好後,資料庫將分析、編譯和最佳化
執行該查詢的計畫。對於複雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重複相同的查詢,那麼該過程將大
大降低應用程式的速度。透過使用預處理語句,可以避免重複分析/編譯/最佳化週期。簡言之,預處理語句佔用較少的資源,因
而運作得更快。
2、提供給預處理語句的參數不需要用引號括起來,驅動程式會自動處理。如果應用程式只使用預處理語句,可以確保不會
發生SQL 注入。 (然而,如果查詢的其他部分是由未轉義的輸入來建構的,則仍存在 SQL 注入的風險)。
二、預處理實例:
<?php //?号式的预处理语句 一共有3种绑定方式 //1.连接数据库 try{ $pdo = new PDO("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(PDOException $e){ die("数据库连接失败".$e->getMessage()); } //2.预处理的SQL语句 $sql = "insert into stu(id,name,sex,age) values(?,?,?,?)"; $stmt = $pdo->prepare($sql); //3.对?号的参数绑定 //(第一种绑定方式) /* $stmt->bindValue(1,null); $stmt->bindValue(2,'test55'); $stmt->bindValue(3,'w'); $stmt->bindValue(4,22); */ //第二种绑定方式 /* $stmt->bindParam(1,$id); $stmt->bindParam(2,$name); $stmt->bindParam(3,$sex); $stmt->bindParam(4,$age); $id=null; $name="test66"; $sex="m"; $age=33; */ //第三种绑定方式 //$stmt->execute(array(null,'test77','22',55)); //4.执行 $stmt->execute(array(null,'test77','22',55)); echo $stmt->rowCount();
<?php //别名式号式的预处理语句 一共有3种绑定方式 //1.连接数据库 try{ $pdo = new PDO("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(PDOException $e){ die("数据库连接失败".$e->getMessage()); } //2.预处理的SQL语句 $sql = "insert into stu(id,name,sex,age) values(:id,:name,:sex,:age)"; $stmt = $pdo->prepare($sql); //3.对?号的参数绑定 //(第一种绑定方式) /* $stmt->bindValue("id",null); $stmt->bindValue("name",'ceshi1'); $stmt->bindValue("sex",'w'); $stmt->bindValue("age",22); */ //第二种绑定方式 /* $stmt->bindParam("id",$id); $stmt->bindParam("name",$name); $stmt->bindParam("sex",$sex); $stmt->bindParam("age",$age); $id=null; $name="ceshi2"; $sex="m"; $age=33; */ //第三种绑定方式 //$stmt->execute(array(null,'test77','22',55)); //4.执行 $stmt->execute(array("id"=>null,"name"=>"ceshi3","sex"=>"w","age"=>66)); echo $stmt->rowCount();
<?php //采用预处理SQL执行查询,并采用绑定结果方式输出 //1.连接数据库 try{ $pdo = new PDO("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(PDOException $e){ die("数据库连接失败".$e->getMessage()); } //2.预处理的SQL语句 $sql = "select id,name,sex,age from stu"; $stmt = $pdo->prepare($sql); //3.执行 $stmt->execute(); $stmt->bindColumn(1,$id); $stmt->bindColumn(2,$name); $stmt->bindColumn("sex",$sex); $stmt->bindColumn("age",$age); while($row=$stmt->fetch(PDO::FETCH_COLUMN)){ echo "{$id}:{$name}:{$sex}:{$age}<br>"; } /* foreach($stmt as $row){ echo $row['id']."--------".$row['name']."<br>"; } */
最佳方式:
//1.连接数据库 try{ $pdo = new PDO("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(PDOException $e){ die("数据库连接失败".$e->getMessage()); } //2.预处理的SQL语句 $sql = 'select catid,catname,catdir from cy_category where parentid = :parentid'; $stmt = $pdo->prepare($sql); $params = array( 'parentid' => $subcatid ); $stmt->execute($params); //$row = $stm->fetchAll(PDO::FETCH_ASSOC); while($row=$stmt->fetch(PDO::FETCH_ASSOC)){ var_dump($row); echo "<br>"; }
rr