搜尋
首頁後端開發PHP問題詳細介紹PHP中操作資料庫的預處理語句(附程式碼)

本篇文章給大家詳細介紹PHP中操作資料庫的預處理語句(附程式碼)。有一定的參考價值,有需要的朋友可以參考一下,希望對大家有幫助。

詳細介紹PHP中操作資料庫的預處理語句(附程式碼)

PHP中操作資料庫的預處理語句

今天這篇文章的內容其實也是非常基礎的內容,不過在在現代化的開發中,大家都使用框架,已經很少人會去自己封裝或經常寫底層的資料庫操作程式碼了。所以這回我們就來複習一下資料庫中相關擴充中的預處理語句內容。

什麼是預處理語句?

預處理語句,可以把它看作是想要執行的 SQL 語句的一種編譯過的模板,它可以使用變數參數來控制。預處理語句可以帶來兩大好處:

  • 查詢只需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢準備好後,資料庫將分析、編譯和最佳化執行該查詢的計畫。對於複雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重複相同的查詢,那麼該過程將大大降低應用程式的速度。透過使用預處理語句,可以避免重複分析/編譯/最佳化週期。簡言之,預處理語句佔用較少的資源,因而運作得更快。

  • 提供給預處理語句的參數不需要用引號括起來,驅動程式會自動處理。如果應用程式只使用預處理語句,可以確保不會發生SQL 注入。 (然而,如果查詢的其他部分是由未轉義的輸入來建構的,則仍有 SQL 注入的風險)。

上述內容是摘自官方文件的說明,但其實預處理語句帶給我們最直觀的好處就是能夠有效地預防 SQL 注入。關於 SQL 注入的內容我們將來在學習 MySQL 的時候再進行深入的學習,這裡就不過多地介紹了,反正預處理語句就是可以完成這項工作就好了。

PDO 運算預處理語句

在PHP 的擴充中,PDO 已經是主流的核心資料庫擴充庫,自然它對預處理語句的支援也是非常全面的。

$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', '');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// :xxx 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->bindParam(':salt', $salt);

$username = 'one';
$password = '123123';
$salt = 'aaa';
$stmt->execute();

$username = 'two';
$password = '123123';
$salt = 'bbb';
$stmt->execute();

在程式碼中,我們使用 prepare() 方法定義預處理語句,這個方法會傳回一個 PDOStatement 物件。在預處理的語句內使用 :xxx 這樣的佔位符號,並在外部使用 PDOStatement 物件的 bindParam() 方法為這些佔位符綁定上變數。最後透過 execute() 來真正執行 SQL 語句。

從這段程式碼中,我們就可以看到預處理語句的兩大優勢的體現。首先是佔位符,使用佔位符之後,我們就不用在 SQL 語句中去寫單引號,單引號往往就是 SQL 注入的主要漏洞來源。 bindParam() 方法會自動轉換綁定資料的型別。當然,bindParam() 方法也可以在可選的參數中指定綁定的資料類型,這樣就能讓我們的程式碼更加安全了,大家可以查閱相關的文件。

另一個優點就是模板的能力,我們只定義了一個 PDOStatement 對象,然後透過改變資料的內容,就可以多次使用 execute() 方法去執行預處理語句。

佔位符還有另一種寫法,就是使用一個問號來作為佔位符號,在這種情況下,bindParam() 方法的鍵名就要使用數字下標了。這裡要注意的是,數字下標是從 1 開始的。

// ? 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)");
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);

$username = 'three';
$password = '123123';
$salt = 'ccc';
$stmt->execute();

在我們的查詢中,也是可以方便地使用預處理語句的功能進行資料查詢的。在這裡,我們直接使用 execute() 來為佔位符傳遞參數。

// 查询获取数据
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

$stmt->execute(['username'=>'one']);

while($row = $stmt->fetch()){
    print_r($row);
}

mysqli 操作預處理語句

雖然說主流是PDO ,而且大部分框架中使用的也是PDO ,但我們在寫腳本,或者需要快速測試一些功能的時候,還是會使用mysqli 來快速地開發。當然,mysqli 也是支援預處理語句相關功能的。

// mysqli 预处理
$conn = new mysqli('127.0.0.1', 'root', '', 'blog_test');
$username = 'one';
$stmt = $conn->prepare("select username from zyblog_test_user where username = ?");
$stmt->bind_param("s", $username);

$stmt->execute();

echo $stmt->bind_result($unames);

var_dump($unames);

while ($stmt->fetch()) {
    printf("%s\n", $unames);
}

可以看出,mysqli 除了方法名稱不同之外,綁定參數的鍵名也不完全的相同,這裡我們使用的是問號佔位,在bind_param() 方法中,是使用s來表示符號位置,如果是多個參數,就要寫成sss... 這樣。

總結

預處理語句的能力在現在的框架中都已經幫我們封裝好了,其實我們並不需要太關心,就像Laravel 使用DB::select() 進行資料庫操作時,我們就可以看到預處理語句的應用。
大家可以自行查閱 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法。

測試程式碼:

https://github.com/zhangyue0503/dev-blog/blob/master/php/202008/source/PHP%E4%B8%AD%E6%93%8D%E4%BD%9C%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E9%A2%84%E5%A4%84%E7%90%86%E8%AF%AD%E5%8F%A5.php

推薦學習:php影片教學

#

以上是詳細介紹PHP中操作資料庫的預處理語句(附程式碼)的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述
本文轉載於:segmentfault。如有侵權,請聯絡admin@php.cn刪除
酸與基本數據庫:差異和何時使用。酸與基本數據庫:差異和何時使用。Mar 26, 2025 pm 04:19 PM

本文比較了酸和基本數據庫模型,詳細介紹了它們的特徵和適當的用例。酸優先確定數據完整性和一致性,適合財務和電子商務應用程序,而基礎則側重於可用性和

PHP安全文件上傳:防止與文件相關的漏洞。PHP安全文件上傳:防止與文件相關的漏洞。Mar 26, 2025 pm 04:18 PM

本文討論了確保PHP文件上傳的確保,以防止諸如代碼注入之類的漏洞。它專注於文件類型驗證,安全存儲和錯誤處理以增強應用程序安全性。

PHP輸入驗證:最佳實踐。PHP輸入驗證:最佳實踐。Mar 26, 2025 pm 04:17 PM

文章討論了PHP輸入驗證以增強安全性的最佳實踐,重點是使用內置功能,白名單方法和服務器端驗證等技術。

PHP API率限制:實施策略。PHP API率限制:實施策略。Mar 26, 2025 pm 04:16 PM

本文討論了在PHP中實施API速率限制的策略,包括諸如令牌桶和漏水桶等算法,以及使用Symfony/Rate-limimiter之類的庫。它還涵蓋監視,動態調整速率限制和手

php密碼哈希:password_hash和password_verify。php密碼哈希:password_hash和password_verify。Mar 26, 2025 pm 04:15 PM

本文討論了使用password_hash和pyspasswify在PHP中使用密碼的好處。主要論點是,這些功能通過自動鹽,強大的哈希算法和SECH來增強密碼保護

OWASP前10 php:描述並減輕常見漏洞。OWASP前10 php:描述並減輕常見漏洞。Mar 26, 2025 pm 04:13 PM

本文討論了OWASP在PHP和緩解策略中的十大漏洞。關鍵問題包括注射,驗證損壞和XSS,並提供用於監視和保護PHP應用程序的推薦工具。

PHP XSS預防:如何預防XSS。PHP XSS預防:如何預防XSS。Mar 26, 2025 pm 04:12 PM

本文討論了防止PHP中XSS攻擊的策略,專注於輸入消毒,輸出編碼以及使用安全增強的庫和框架。

PHP接口與抽像類:何時使用。PHP接口與抽像類:何時使用。Mar 26, 2025 pm 04:11 PM

本文討論了PHP中接口和抽像類的使用,重點是何時使用。界面定義了無實施的合同,適用於無關類和多重繼承。摘要類提供常見功能

See all articles

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

AI Hentai Generator

AI Hentai Generator

免費產生 AI 無盡。

熱門文章

R.E.P.O.能量晶體解釋及其做什麼(黃色晶體)
3 週前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳圖形設置
3 週前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.如果您聽不到任何人,如何修復音頻
3 週前By尊渡假赌尊渡假赌尊渡假赌
WWE 2K25:如何解鎖Myrise中的所有內容
4 週前By尊渡假赌尊渡假赌尊渡假赌

熱工具

Dreamweaver Mac版

Dreamweaver Mac版

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

SublimeText3 Linux新版

SublimeText3 Linux新版

SublimeText3 Linux最新版

WebStorm Mac版

WebStorm Mac版

好用的JavaScript開發工具

SecLists

SecLists

SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。