Explication détaillée des exemples de prétraitement de l'extension php mysqli

Dans l'article précédent Connaissances de base de MySQL, j'ai parlé de l'installation et des opérations de base de MySQL (principalement l'opération de requête d'une seule instruction SQL). Aujourd'hui, j'introduis une partie très importante de MySQL : le prétraitement.

Dans les opérations mysqli, ses trois classes principales sont souvent impliquées : la classe MySQLi, la classe MySQL_STMT et la classe MySQLi_RESULT. Le prétraitement s'effectue principalement à l'aide de la classe MySQL_STMT.

Le prétraitement est un moyen important pour empêcher l'injection SQL et revêt une grande importance pour améliorer la sécurité des sites Web.

Le cas de cet article est que le nom de la base de données est test, le nom de la table de données est test, les champs ont deux identifiants et un titre, et l'identifiant est une clé primaire à augmentation automatique.

<?php 
define("HOST", "localhost");define("USER", &#39;root&#39;);define("PWD", &#39;&#39;);define("DB", &#39;test&#39;);$mysqli=new Mysqli(HOST,USER,PWD,DB);if ($mysqli->connect_errno) {    "Connect Error:".$mysqli->connect_error;
}$mysqli->set_charset(&#39;utf8&#39;);$id=&#39;&#39;;$title=&#39;title4&#39;;//用？代替 变量$sql="INSERT test VALUES (?,?)";//获得$mysqli_stmt对象，一定要记住传$sql，预处理是对sql语句的预处理。$mysqli_stmt=$mysqli->prepare($sql);//第一个参数表明变量类型，有i(int),d(double),s(string),b(blob)$mysqli_stmt->bind_param(&#39;is&#39;,$id,$title);//执行预处理语句if($mysqli_stmt->execute()){    echo $mysqli_stmt->insert_id;
}else{    echo $mysqli_stmt->error;
}$mysqli->close();

Utilisez le prétraitement MySQLi pour empêcher l'injection SQL :

$id='4';$title='title4';$sql="SELECT * FROM test WHERE id=? AND title=?";$mysqli_stmt=$mysqli->prepare($sql);$mysqli_stmt->bind_param('is',$id,$title);if ($mysqli_stmt->execute()) {    $mysqli_stmt->store_result();    if($mysqli_stmt->num_rows()>0){        echo "验证成功";
    }else{        echo "验证失败";
    }
}    $mysqli_stmt->free_result();    $mysqli_stmt->close();

Utilisez le prétraitement MySQLi pour exécuter des requêtes Déclaration :

$sql="SELECT id,title FROM test WHERE id>=?";$mysqli_stmt=$mysqli->prepare($sql);$id=1;$mysqli_stmt->bind_param(&#39;i&#39;,$id);if($mysqli_stmt->execute()){    $mysqli_stmt->store_result();   //将一个变量绑定到一个prepared语句上用于结果存储    $mysqli_stmt->bind_result($id,$title);    while ($mysqli_stmt->fetch()) {        echo $id.&#39; :&#39;.$title.&#39;<br/>&#39;;
    }


}

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!