この記事では、主に php_pdo プリペアド ステートメントの分析を紹介します。これは、必要な友人に参照してもらうために共有します。ステートメント) のコンセプト。前処理はさまざまな方法で実装できます。この記事では、サンプルコードを通じて php_pdo 前処理ステートメントを詳しく紹介します。
この記事では主に php_pdo の前処理ステートメントについて説明します。以下では特に説明しません。詳細な内容を見てみましょう。
1. ステートメントの前処理には、次の 2 つの大きな利点があります。 1. クエリの解析 (または前処理) は 1 回だけで済みます。同じまたは異なるパラメータを使用して複数回実行できます。クエリの準備が完了すると、データベースはクエリを実行するための計画を
分析、コンパイル、最適化します。複雑なクエリの場合、このプロセスには長い時間がかかり、同じクエリを異なるパラメータで複数回繰り返す必要がある場合、このプロセスによりアプリケーションの速度が大幅に低下します。準備されたステートメントを使用すると、分析/コンパイル/最適化サイクルの繰り返しを回避できます。つまり、準備されたステートメントは、 のおかげで使用するリソースが少なくなり、より高速に実行されます。
2. 準備されたステートメントに指定されたパラメーターは引用符で囲む必要はなく、ドライバーが自動的に処理します。アプリケーションが準備されたステートメントのみを使用する場合、SQL インジェクションが発生しないようにすることができます。 (ただし、クエリの他の部分がエスケープされていない入力から構築されている場合は、依然として SQL インジェクションのリスクが存在します)。
2. 前処理の例:
<?php
//?号式的预处理语句 一共有3种绑定方式
//1.连接数据库
try{
$pdo = new PDO("mysql:host=localhost;dbname=jikexueyuan","root","");
}catch(PDOException $e){
die("数据库连接失败".$e->getMessage());
}
//2.预处理的SQL语句
$sql = "insert into stu(id,name,sex,age) values(?,?,?,?)";
$stmt = $pdo->prepare($sql);
//3.对?号的参数绑定
//(第一种绑定方式)
/* $stmt->bindValue(1,null);
$stmt->bindValue(2,'test55');
$stmt->bindValue(3,'w');
$stmt->bindValue(4,22); */
//第二种绑定方式
/* $stmt->bindParam(1,$id);
$stmt->bindParam(2,$name);
$stmt->bindParam(3,$sex);
$stmt->bindParam(4,$age);
$id=null;
$name="test66";
$sex="m";
$age=33; */
//第三种绑定方式
//$stmt->execute(array(null,'test77','22',55));
//4.执行
$stmt->execute(array(null,'test77','22',55));
echo $stmt->rowCount();
<?php //别名式号式的预处理语句 一共有3种绑定方式 //1.连接数据库 try{ $pdo = new PDO("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(PDOException $e){ die("数据库连接失败".$e->getMessage()); } //2.预处理的SQL语句 $sql = "insert into stu(id,name,sex,age) values(:id,:name,:sex,:age)"; $stmt = $pdo->prepare($sql); //3.对?号的参数绑定 //(第一种绑定方式) /* $stmt->bindValue("id",null); $stmt->bindValue("name",'ceshi1'); $stmt->bindValue("sex",'w'); $stmt->bindValue("age",22); */ //第二种绑定方式 /* $stmt->bindParam("id",$id); $stmt->bindParam("name",$name); $stmt->bindParam("sex",$sex); $stmt->bindParam("age",$age); $id=null; $name="ceshi2"; $sex="m"; $age=33; */ //第三种绑定方式 //$stmt->execute(array(null,'test77','22',55)); //4.执行 $stmt->execute(array("id"=>null,"name"=>"ceshi3","sex"=>"w","age"=>66)); echo $stmt->rowCount();
<?php //采用预处理SQL执行查询,并采用绑定结果方式输出 //1.连接数据库 try{ $pdo = new PDO("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(PDOException $e){ die("数据库连接失败".$e->getMessage()); } //2.预处理的SQL语句 $sql = "select id,name,sex,age from stu"; $stmt = $pdo->prepare($sql); //3.执行 $stmt->execute(); $stmt->bindColumn(1,$id); $stmt->bindColumn(2,$name); $stmt->bindColumn("sex",$sex); $stmt->bindColumn("age",$age); while($row=$stmt->fetch(PDO::FETCH_COLUMN)){ echo "{$id}:{$name}:{$sex}:{$age}<br>"; } /* foreach($stmt as $row){ echo $row['id']."--------".$row['name']."<br>"; } */
最良の方法:
//1.连接数据库 try{ $pdo = new PDO("mysql:host=localhost;dbname=jikexueyuan","root",""); }catch(PDOException $e){ die("数据库连接失败".$e->getMessage()); } //2.预处理的SQL语句 $sql = 'select catid,catname,catdir from cy_category where parentid = :parentid'; $stmt = $pdo->prepare($sql); $params = array( 'parentid' => $subcatid ); $stmt->execute($params); //$row = $stm->fetchAll(PDO::FETCH_ASSOC); while($row=$stmt->fetch(PDO::FETCH_ASSOC)){ var_dump($row); echo "<br>"; }
前処理バッチ操作の例:
<?php //用预处理语句进行重复插入 //下面例子通过用 name 和 value 替代相应的命名占位符来执行一个插入查询 $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)"); $stmt->bindParam(':name', $name); $stmt->bindParam(':value', $value); // 插入一行 $name = 'one'; $value = 1; $stmt->execute(); // 用不同的值插入另一行 $name = 'two'; $value = 2; $stmt->execute(); //用预处理语句进行重复插入 //下面例子通过用 name 和 value 取代 ? 占位符的位置来执行一条插入查询。 $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)"); $stmt->bindParam(1, $name); $stmt->bindParam(2, $value); // 插入一行 $name = 'one'; $value = 1; $stmt->execute(); // 用不同的值插入另一行 $name = 'two'; $value = 2; $stmt->execute(); //使用预处理语句获取数据 //下面例子获取数据基于键值已提供的形式。用户的输入被自动用引号括起来,因此不会有 SQL 注入攻击的危险。 $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?"); if ($stmt->execute(array($_GET['name']))) { while ($row = $stmt->fetch()) { print_r($row); } } ?>
以上がこの記事の全内容です。その他の関連コンテンツについては、PHP 中国語 Web サイトをご覧ください。
関連する推奨事項:
PHP を使用してシンプルなアプリ インターフェイスを作成する方法以上がphp_pdo プリペアドステートメントの分析についての詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。