PHP中的操作mysqli的预处理prepare

1、【PHP错误】Cannot pass parameter 2 by reference

首页

后端开发

php教程

PHP中的操作mysqli的预处理prepare

不言

Jul 04, 2018 pm 05:46 PM

这篇文章主要介绍了关于PHP中的操作mysqli的预处理prepare ，有着一定的参考价值，现在分享给大家，有需要的朋友可以参考一下

PHP中的操作mysqli的预处理prepare

1、【PHP错误】Cannot pass parameter 2 by reference

这个错误的意思是不能按引用传递第2个参数
出现这个错误的原因是bind_param()方法里的除表示数据类型的第一个参数外，
均需要用变量，而不能用直接量,因为其它参数都是按引用传递的

$sql = "select * from tmp where myname=? or sex =?";
$stmt = $mysqli->conn->prepare($sql);
$name ="a";
$sex="b";
$stmt->bind_param('ss',$name,$sex);//必须要这样传参，且在mysqli等的预处理参数绑定中，必须要指定参数的类型且只能一次性绑定全部参数，不能像PDO那样一个个绑定

//$stmt->bind_param('ss',"a","b");
//这种方式的会报错：Fatal error: Cannot pass parameter 2 by reference$stmt->execute();
if($mysqli->conn->affected_rows){    
$result = $stmt->get_result();    
while($row = $result->fetch_assoc()){        
var_dump($row);
    }
}

登录后复制

2、PHP防SQL注入不要再用addslashes和mysql_real_escape_string了

　　不论是使用addslashes还是mysql_real_escape_string,都可以利用编码的漏洞来实现输入任意密码就能登录服务器的注入攻击！！！！（攻击的原理我就不多说了，感兴趣的同学可以研究下字符编码中单字节和多字节的问题）

　　mysql_real_escape_string之所以能够防注入是因为mysql_escape_string本身并没办法判断当前的编码，必须同时指定服务端的编码和客户端的编码，加上就能防编码问题的注入了。虽然是可以一定程度上防止SQL注入，但还是建议以下的完美解决方案。

完美解决方案就是使用拥有Prepared Statement机制的PDO和MYSQLi来代替mysql_query(注：mysql_query自 PHP 5.5.0 起已废弃，并在将来会被移除)：

PDO:

$pdo = new PDO(&#39;mysql:dbname=dbtest;host=127.0.0.1;charset=utf8&#39;, &#39;user&#39;, &#39;pass&#39;);
 
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$stmt = $pdo->prepare(&#39;SELECT * FROM employees WHERE name = :name&#39;);
$stmt->execute(array(&#39;name&#39; => $name));
 
foreach ($stmt as $row) {
// do something with $row

登录后复制

MYSQLI:

$stmt = $dbConnection->prepare(&#39;SELECT * FROM employees WHERE name = ?&#39;);
$stmt->bind_param(&#39;s&#39;, $name);
 
$stmt->execute();
 
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}

登录后复制

PDO：

$pdo = new PDO(&#39;mysql:dbname=dbtest;host=127.0.0.1;charset=utf8&#39;, &#39;user&#39;, &#39;pass&#39;);

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);


$stmt = $pdo->prepare(&#39;SELECT * FROM employees WHERE name = :name&#39;);


$stmt->execute(array(&#39;name&#39; => $name));

 


foreach ($stmt as $row) {


// do something with $row


}

登录后复制

MYSQLi：

$stmt = $dbConnection->prepare(&#39;SELECT * FROM employees WHERE name = ?&#39;);
$stmt->bind_param(&#39;s&#39;, $name);
 
$stmt->execute();
 
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}

登录后复制

以上就是本文的全部内容，希望对大家的学习有所帮助，更多相关内容请关注PHP中文网！

热AI工具

热工具

热门话题

Java教程

1658

CakePHP 教程

1415

Laravel 教程

1309

PHP教程

1257

C# 教程

1231

显示更多

Related knowledge

会话如何劫持工作，如何在PHP中减轻它？ Apr 06, 2025 am 12:02 AM

会话劫持可以通过以下步骤实现：1.获取会话ID，2.使用会话ID，3.保持会话活跃。在PHP中防范会话劫持的方法包括：1.使用session_regenerate_id()函数重新生成会话ID，2.通过数据库存储会话数据，3.确保所有会话数据通过HTTPS传输。

说明PHP中的不同错误类型（注意，警告，致命错误，解析错误）。 Apr 08, 2025 am 12:03 AM

PHP中有四种主要错误类型：1.Notice：最轻微，不会中断程序，如访问未定义变量；2.Warning：比Notice严重，不会终止程序，如包含不存在文件；3.FatalError：最严重，会终止程序，如调用不存在函数；4.ParseError：语法错误，会阻止程序执行，如忘记添加结束标签。

PHP和Python：比较两种流行的编程语言 Apr 14, 2025 am 12:13 AM

PHP和Python各有优势，选择依据项目需求。1.PHP适合web开发，尤其快速开发和维护网站。2.Python适用于数据科学、机器学习和人工智能，语法简洁，适合初学者。

什么是HTTP请求方法（获取，发布，放置，删除等），何时应该使用？ Apr 09, 2025 am 12:09 AM

HTTP请求方法包括GET、POST、PUT和DELETE，分别用于获取、提交、更新和删除资源。1.GET方法用于获取资源，适用于读取操作。2.POST方法用于提交数据，常用于创建新资源。3.PUT方法用于更新资源，适用于完整更新。4.DELETE方法用于删除资源，适用于删除操作。

说明PHP中的安全密码散列（例如，password_hash，password_verify）。为什么不使用MD5或SHA1？ Apr 17, 2025 am 12:06 AM

在PHP中，应使用password_hash和password_verify函数实现安全的密码哈希处理，不应使用MD5或SHA1。1)password_hash生成包含盐值的哈希，增强安全性。2)password_verify验证密码，通过比较哈希值确保安全。3)MD5和SHA1易受攻击且缺乏盐值，不适合现代密码安全。

PHP：网络开发的关键语言 Apr 13, 2025 am 12:08 AM

PHP是一种广泛应用于服务器端的脚本语言，特别适合web开发。1.PHP可以嵌入HTML，处理HTTP请求和响应，支持多种数据库。2.PHP用于生成动态网页内容，处理表单数据，访问数据库等，具有强大的社区支持和开源资源。3.PHP是解释型语言，执行过程包括词法分析、语法分析、编译和执行。4.PHP可以与MySQL结合用于用户注册系统等高级应用。5.调试PHP时，可使用error_reporting()和var_dump()等函数。6.优化PHP代码可通过缓存机制、优化数据库查询和使用内置函数。7