PHP MySQL 預處理語句在php中很重要,本篇將詳細的了解PHP MySQL 預處理語句。
預處理語句及綁定參數
預處理語句用於執行多個相同的 SQL 語句,並且執行效率更高。
預處理語句的工作原理如下:
預處理:建立 SQL 語句範本並傳送到資料庫。預留的值使用參數 "?" 標記 。例如:
INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)
資料庫解析,編譯,對SQL語句範本執行查詢最佳化,並存儲結果不輸出。
執行:最後,將應用綁定的值傳遞給參數("?" 標記),資料庫執行語句。應用可以多次執行語句,如果參數的值不一樣。
比起直接執行SQL語句,預處理語句有兩個主要優點:
預處理語句大幅減少了分析時間,只做了一次查詢(雖然語句多次執行) 。
綁定參數減少了伺服器頻寬,你只需要傳送查詢的參數,而不是整個語句。
預處理語句針對SQL注入是非常有用的,因為參數值發送後使用不同的協議,保證了資料的合法性。
MySQLi 預處理語句
以下實例在MySQLi 中使用了預處理語句,並綁定了對應的參數:
實例(MySQLi 使用預處理語句)
<?php$servername = "localhost";$username = "username";$password = "password";$dbname = "myDB"; // 创建连接$conn = new mysqli($servername, $username, $password, $dbname); // 检测连接if ($conn->connect_error) { die("连接失败: " . $conn->connect_error);} // 预处理及绑定$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");$stmt->bind_param("sss", $firstname, $lastname, $email); // 设置参数并执行$firstname = "John";$lastname = "Doe";$email = "john@example.com";$stmt->execute(); $firstname = "Mary";$lastname = "Moe";$email = "mary@example.com";$stmt->execute(); $firstname = "Julie";$lastname = "Dooley";$email = "julie@example.com";$stmt->execute(); echo "新记录插入成功"; $stmt->close();$conn->close();?>
解析以下實例的每行程式碼:
##"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"在SQL 語句中,我們使用了問號(?),在此我們可以將問號替換為整數,接下來,讓我們來看下bind_param() 函數:$stmt->bind_param("sss", $firstname, $lastname, $email);此函數綁定了SQL 的參數,並告訴資料庫參數的值。 "sss" 參數列處理其餘參數的參數有以下四種型別:i - integer(整數型)d - double(雙精確度浮點型)s - string(字串)b - BLOB(binary large object:二進位大物件)每個參數都需要指定型別。 透過告訴資料庫參數的資料類型,可以降低 SQL 注入的風險。<?php$servername = "localhost";$username = "username";$password = "password";$dbname = "myDBPDO"; try { $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); // 设置 PDO 错误模式为异常 $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // 预处理 SQL 并绑定参数 $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (:firstname, :lastname, :email)"); $stmt->bindParam(':firstname', $firstname); $stmt->bindParam(':lastname', $lastname); $stmt->bindParam(':email', $email); // 插入行 $firstname = "John"; $lastname = "Doe"; $email = "john@example.com"; $stmt->execute(); // 插入其他行 $firstname = "Mary"; $lastname = "Moe"; $email = "mary@example.com"; $stmt->execute(); // 插入其他行 $firstname = "Julie"; $lastname = "Dooley"; $email = "julie@example.com"; $stmt->execute(); echo "新记录插入成功";}catch(PDOException $e){ echo "Error: " . $e->getMessage();}$conn = null;?>
以上是關於PHP MySQL 預處理語句的相關知識的詳細內容。更多資訊請關注PHP中文網其他相關文章!