本篇文章給大家詳細介紹PHP中操作資料庫的預處理語句(附程式碼)。有一定的參考價值,有需要的朋友可以參考一下,希望對大家有幫助。
PHP中操作資料庫的預處理語句
今天這篇文章的內容其實也是非常基礎的內容,不過在在現代化的開發中,大家都使用框架,已經很少人會去自己封裝或經常寫底層的資料庫操作程式碼了。所以這回我們就來複習一下資料庫中相關擴充中的預處理語句內容。
什麼是預處理語句?
預處理語句,可以把它看作是想要執行的 SQL 語句的一種編譯過的模板,它可以使用變數參數來控制。預處理語句可以帶來兩大好處:
查詢只需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢準備好後,資料庫將分析、編譯和最佳化執行該查詢的計畫。對於複雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重複相同的查詢,那麼該過程將大大降低應用程式的速度。透過使用預處理語句,可以避免重複分析/編譯/最佳化週期。簡言之,預處理語句佔用較少的資源,因而運作得更快。
提供給預處理語句的參數不需要用引號括起來,驅動程式會自動處理。如果應用程式只使用預處理語句,可以確保不會發生SQL 注入。 (然而,如果查詢的其他部分是由未轉義的輸入來建構的,則仍有 SQL 注入的風險)。
上述內容是摘自官方文件的說明,但其實預處理語句帶給我們最直觀的好處就是能夠有效地預防 SQL 注入。關於 SQL 注入的內容我們將來在學習 MySQL 的時候再進行深入的學習,這裡就不過多地介紹了,反正預處理語句就是可以完成這項工作就好了。
PDO 運算預處理語句
在PHP 的擴充中,PDO 已經是主流的核心資料庫擴充庫,自然它對預處理語句的支援也是非常全面的。
$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', ''); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // :xxx 占位符 $stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)"); $stmt->bindParam(':username', $username); $stmt->bindParam(':password', $password); $stmt->bindParam(':salt', $salt); $username = 'one'; $password = '123123'; $salt = 'aaa'; $stmt->execute(); $username = 'two'; $password = '123123'; $salt = 'bbb'; $stmt->execute();
在程式碼中,我們使用 prepare() 方法定義預處理語句,這個方法會傳回一個 PDOStatement 物件。在預處理的語句內使用 :xxx 這樣的佔位符號,並在外部使用 PDOStatement 物件的 bindParam() 方法為這些佔位符綁定上變數。最後透過 execute() 來真正執行 SQL 語句。
從這段程式碼中,我們就可以看到預處理語句的兩大優勢的體現。首先是佔位符,使用佔位符之後,我們就不用在 SQL 語句中去寫單引號,單引號往往就是 SQL 注入的主要漏洞來源。 bindParam() 方法會自動轉換綁定資料的型別。當然,bindParam() 方法也可以在可選的參數中指定綁定的資料類型,這樣就能讓我們的程式碼更加安全了,大家可以查閱相關的文件。
另一個優點就是模板的能力,我們只定義了一個 PDOStatement 對象,然後透過改變資料的內容,就可以多次使用 execute() 方法去執行預處理語句。
佔位符還有另一種寫法,就是使用一個問號來作為佔位符號,在這種情況下,bindParam() 方法的鍵名就要使用數字下標了。這裡要注意的是,數字下標是從 1 開始的。
// ? 占位符 $stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)"); $stmt->bindParam(1, $username); $stmt->bindParam(2, $password); $stmt->bindParam(3, $salt); $username = 'three'; $password = '123123'; $salt = 'ccc'; $stmt->execute();
在我們的查詢中,也是可以方便地使用預處理語句的功能進行資料查詢的。在這裡,我們直接使用 execute() 來為佔位符傳遞參數。
// 查询获取数据 $stmt = $pdo->prepare("select * from zyblog_test_user where username = :username"); $stmt->execute(['username'=>'one']); while($row = $stmt->fetch()){ print_r($row); }
mysqli 操作預處理語句
雖然說主流是PDO ,而且大部分框架中使用的也是PDO ,但我們在寫腳本,或者需要快速測試一些功能的時候,還是會使用mysqli 來快速地開發。當然,mysqli 也是支援預處理語句相關功能的。
// mysqli 预处理 $conn = new mysqli('127.0.0.1', 'root', '', 'blog_test'); $username = 'one'; $stmt = $conn->prepare("select username from zyblog_test_user where username = ?"); $stmt->bind_param("s", $username); $stmt->execute(); echo $stmt->bind_result($unames); var_dump($unames); while ($stmt->fetch()) { printf("%s\n", $unames); }
可以看出,mysqli 除了方法名稱不同之外,綁定參數的鍵名也不完全的相同,這裡我們使用的是問號佔位,在bind_param() 方法中,是使用s來表示符號位置,如果是多個參數,就要寫成sss... 這樣。
總結
預處理語句的能力在現在的框架中都已經幫我們封裝好了,其實我們並不需要太關心,就像Laravel 使用DB::select() 進行資料庫操作時,我們就可以看到預處理語句的應用。
大家可以自行查閱 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法。
測試程式碼:
https://github.com/zhangyue0503/dev-blog/blob/master/php/202008/source/PHP%E4%B8%AD%E6%93%8D%E4%BD%9C%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E9%A2%84%E5%A4%84%E7%90%86%E8%AF%AD%E5%8F%A5.php
推薦學習:php影片教學
#以上是詳細介紹PHP中操作資料庫的預處理語句(附程式碼)的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本文比較了酸和基本數據庫模型,詳細介紹了它們的特徵和適當的用例。酸優先確定數據完整性和一致性,適合財務和電子商務應用程序,而基礎則側重於可用性和

本文討論了確保PHP文件上傳的確保,以防止諸如代碼注入之類的漏洞。它專注於文件類型驗證,安全存儲和錯誤處理以增強應用程序安全性。

本文討論了在PHP中實施API速率限制的策略,包括諸如令牌桶和漏水桶等算法,以及使用Symfony/Rate-limimiter之類的庫。它還涵蓋監視,動態調整速率限制和手

本文討論了使用password_hash和pyspasswify在PHP中使用密碼的好處。主要論點是,這些功能通過自動鹽,強大的哈希算法和SECH來增強密碼保護

本文討論了OWASP在PHP和緩解策略中的十大漏洞。關鍵問題包括注射,驗證損壞和XSS,並提供用於監視和保護PHP應用程序的推薦工具。


熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

AI Hentai Generator
免費產生 AI 無盡。

熱門文章

熱工具

Dreamweaver Mac版
視覺化網頁開發工具

SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)

SublimeText3 Linux新版
SublimeText3 Linux最新版

WebStorm Mac版
好用的JavaScript開發工具

SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。