为什么我的PDO准备语句无法插入数据到MySQL？

PHP PDO：使用预准备语句进行安全高效的 MySQL 插入

准备好的语句对于使用 PDO（PHP 数据对象）在 PHP 中进行安全、高效的数据库交互至关重要。 然而，常见的陷阱可能会导致插入失败。让我们来看看一个典型问题及其解决方案。

问题：不正确的方法

考虑这个看似正确的代码片段，尝试通过准备好的语句插入 MySQL：

$statement = $link->prepare("INSERT INTO testtable(name, lastname, age) VALUES('Bob','Desaunois','18')");
$statement->execute();

这段代码虽然在语法上有效，但经常失败。 数据库保持不变。

解决方案：正确的参数绑定

正确的方法是利用命名或未命名的占位符来安全地绑定参数：

使用命名占位符：

$statement = $link->prepare('INSERT INTO testtable (name, lastname, age) VALUES (:fname, :sname, :age)');
$statement->execute([
    'fname' => 'Bob',
    'sname' => 'Desaunois',
    'age' => '18',
]);

此版本使用命名占位符（:fname、:sname、:age）和关联数组来绑定值。 由于其清晰性和可读性，这是推荐的方法。

使用未命名占位符：

或者，您可以使用未命名占位符 (?)：

$statement = $link->prepare('INSERT INTO testtable (name, lastname, age) VALUES (?, ?, ?)');
$statement->execute(['Bob', 'Desaunois', '18']);

这里，数组中值的顺序必须严格匹配SQL语句中占位符的顺序。

为什么有效：防止 SQL 注入并提高性能

准备好的语句具有显着的优势：

• 安全性：参数绑定通过将数据与 SQL 查询本身分离来防止 SQL 注入漏洞。
• 性能：数据库预编译查询，提高执行速度，特别是对于频繁执行的查询。
• 可读性和可维护性：使用命名占位符可以增强代码清晰度。

通过正确利用带有参数绑定的准备好的语句，您可以确保 PHP 应用程序中安全且优化的数据库交互。

以上是为什么我的PDO准备语句无法插入数据到MySQL？的详细内容。更多信息请关注PHP中文网其他相关文章！