预处理
1.预处理技术,可以将动态变量,从SQL语句中的分离出来,单独操作
2.解决了SQL注入的安全问题
3.预处理操作是通过一个叫预处理对象的工具来操作的: STMT
基本步骤:
1.创建stmt预处理对象
2.检测SQL语句
3.参数绑定
4.执行查询
5.注销stmt预处理对象
6.关闭数据库连接
写操作:以INSERT为例,UPDATE/DELETE与之类似,仅语句不同
预处理新增操作,简化版实例
<?php //1.连接数据库 require 'mysqli_connect.php'; //2.准备SQL语句 $sql = "INSERT IGNORE staff SET name=?;"; //3.创建stmt对象 $stmt = mysqli_stmt_init($db); //4.检测SQL语句 if (mysqli_stmt_prepare($stmt, $sql)) { /* 参数绑定 */ mysqli_stmt_bind_param($stmt, "s", $name); $name = '武松'; /* 执行SQL语句 */ mysqli_stmt_execute($stmt); echo '<br>新增了'.mysqli_stmt_affected_rows($stmt).'条记录,主键是:'.mysqli_stmt_insert_id($stmt); } else { exit(mysqli_stmt_errno($stmt).':'.mysqli_stmt_error($stmt)); } /* 注销stmt对象 */ mysqli_stmt_close($stmt); /* 关闭数据库连接 */ mysqli_close($db);
运行实例 »
点击 "运行实例" 按钮查看在线实例
预处理删除操作
<?php //1.连接数据库 require 'mysqli_connect.php'; //2.准备SQL语句,将变量部分使用占位符进行代替 $sql = "DELETE FROM staff WHERE salary>?;"; $salary = 4800; //3.创建并初始化预处理对象stmt $stmt = mysqli_stmt_init($db); //4.用stmt对象检测预处理语句是否正确,成功返回true,错误返回false if (mysqli_stmt_prepare($stmt, $sql)) { /* 将变量与SQL语句中的占位符进行绑定 */ mysqli_stmt_bind_param($stmt, "i",$salary); /* 执行SQL语句 */ if (mysqli_stmt_execute($stmt)) { //判断是否执行成功:受影响的记录数量 if (mysqli_stmt_affected_rows($stmt) > 0) { echo '删除成功,主键是:'.mysqli_stmt_insert_id($stmt); } else { echo '没有符合条件的记录被删除'; } } else { //返回SQL执行阶段的错误 exit(mysqli_stmt_errno($stmt).':'.mysqli_stmt_error($stmt)); } } else { //返回SQL检测阶段的错误 exit(mysqli_stmt_errno($stmt).':'.mysqli_stmt_error($stmt)); } /* 注销stmt对象 */ mysqli_stmt_close($stmt); /* 关闭数据库连接 */ mysqli_close($db);
运行实例 »
点击 "运行实例" 按钮查看在线实例