php pdo参数化查询怎么实现

在PHP中可以通过prepare方法进行PDO参数化查询，该方法会返回一个PDOStatement对象，使用语法如“prepare('SELECT login_oid FROM logined WHERE user_id=...”。

本文操作环境：Windows7系统、PHP7.1、Dell G3电脑。

php pdo参数化查询怎么实现?

PDO参数化查询prepare() php防SQL注入

PDO中参数化查询主要用到prepare()方法，然后这个方法会返回一个PDOStatement对象，也就SQL声明（不知道怎么翻译），此时SQL语句只是被编译，但并未执行，调用PDOStatement中方法后会执行SQL语句，如下示例：

$sm = $db->prepare('SELECT login_oid FROM logined WHERE user_id=:user_id;');
$sm->bindValue(':user_id', $user_id, PDO::PARAM_INT);
$sm -> execute();

在execute()执行前，就可以调用bindValue()或者bindParam()方法替换之前准备的SQL语句中的你指定参数了，在SQL语句中指定参数有两种方式：':name’和’?’，上面代码中的用的是前一种，后一种的方式是：

$sm = $db->prepare(&#39;SELECT * FROM fruit WHERE calories < ?;&#39;);
$sm->bindValue(1, $calories, PDO::PARAM_INT);
$sm->execute();

bindValue()有三个参数，第一个指定要替换掉SQL语句中哪一个参数，第二个指定替换后的值，第三个指定值的类型，类型对应如下：

PDO::PARAM_BOOL

布尔类型

PDO::PARAM_NULL

NULL类型

PDO::PARAM_INT

整数类型

PDO::PARAM_STR

字符串类型如 CHAR, VARCHAR, string

PDO::PARAM_LOB

资源类大对象，如文件等

PDO::PARAM_STMT

不知道

PDO::PARAM_INPUT_OUTPUT

这个好像是扩展类型

里面没有提供实数类型，这个很诧异.

再说说execute()这个方法，它本身也可以做参数替换，但是它会把所有值的类型都变成字符串类型，如下

$sm = $db->prepare(&#39;SELECT * FROM fruit WHERE calories < ?;&#39;);
$sm->execute(array($calories));

多参数替换如下

$sm = $db->prepare(&#39;SELECT * FROM fruit WHERE calories < ?, id < ?;&#39;);
$sm->execute(array($calories, $user_id));

推荐学习：《PHP视频教程》

以上是php pdo参数化查询怎么实现的详细内容。更多信息请关注PHP中文网其他相关文章！