今天这篇文章的内容其实也是非常基础的内容,不过在现代化的开发中,大家都使用框架,已经很少人会去自己封装或者经常写底层的数据库操作代码了。所以这回我们就来复习一下数据库中相关扩展中的预处理语句内容。

什么是预处理语句?

预处理语句,可以把它看作是想要运行的 SQL 语句的一种编译过的模板,它可以使用变量参数进行控制。预处理语句可以带来两大好处:

  • 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。

  • 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会发生SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。

上述内容是摘自官方文档的说明,但其实预处理语句带给我们最直观的好处就是能够有效地预防 SQL 注入。关于 SQL 注入的内容我们将来在学习 MySQL 的时候再进行深入的学习,这里就不过多地介绍了,反正预处理语句就是可以完成这项工作就好了。

PDO 操作预处理语句

在 PHP 的扩展中,PDO 已经是主流的核心数据库扩展库,自然它对预处理语句的支持也是非常全面的。

$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', '');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // :xxx 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->bindParam(':salt', $salt); $username = 'one';
$password = '123123';
$salt = 'aaa';
$stmt->execute(); $username = 'two';
$password = '123123';
$salt = 'bbb';
$stmt->execute();

在代码中,我们使用 prepare() 方法定义预处理语句,这个方法会返回一个 PDOStatement 对象。在预处理的语句内使用 :xxx 这样的占位符号,并在外部使用 PDOStatement 对象的 bindParam() 方法为这些占位符绑定上变量。最后通过 execute() 来真正地执行 SQL 语句。

从这段代码中,我们就可以看到预处理语句的两大优势的体现。首先是占位符,使用占位符之后,我们就不用在 SQL 语句中去写单引号,单引号往往就是 SQL 注入的主要漏洞来源。bindParam() 方法会自动地转换绑定数据的类型。当然,bindParam() 方法也可以在可选的参数中指定绑定的数据类型,这样就能让我们的代码更加安全了,大家可以查阅相关的文档。

另一个优势就是模板的能力,我们只定义了一个 PDOStatement 对象,然后通过改变数据的内容,就可以多次地使用 execute() 方法去执行预处理语句。

占位符还有另一种写法,就是使用一个问号来作为占位符号,在这种情况下,bindParam() 方法的键名就要使用数字下标了。这里需要注意的是,数字下标是从 1 开始的。

// ? 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)");
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt); $username = 'three';
$password = '123123';
$salt = 'ccc';
$stmt->execute();

在我们的查询中,也是可以方便地使用预处理语句的功能进行数据查询的。在这里,我们直接使用 execute() 来为占位符传递参数。

// 查询获取数据
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username"); $stmt->execute(['username'=>'one']); while($row = $stmt->fetch()){
print_r($row);
}

mysqli 操作预处理语句

虽说主流是 PDO ,而且大部分框架中使用的也是 PDO ,但我们在写脚本,或者需要快速地测试一些功能的时候,还是会使用 mysqli 来快速地开发。当然,mysqli 也是支持预处理语句相关功能的。

// mysqli 预处理
$conn = new mysqli('127.0.0.1', 'root', '', 'blog_test');
$username = 'one';
$stmt = $conn->prepare("select username from zyblog_test_user where username = ?");
$stmt->bind_param("s", $username); $stmt->execute(); echo $stmt->bind_result($unames); var_dump($unames); while ($stmt->fetch()) {
printf("%s\n", $unames);
}

可以看出,mysqli 除了方法名不同之外,绑定参数的键名也不完全的相同,这里我们使用的是问号占位,在 bind_param() 方法中,是使用 s 来表示符号位置,如果是多个参数,就要写成 sss... 这样。

总结

预处理语句的能力在现在的框架中都已经帮我们封装好了,其实我们并不需要太关心,就像 Laravel 中使用 DB::select() 进行数据库操作时,我们就可以看到预处理语句的应用。

大家可以自行查阅 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法。

测试代码:

https://github.com/zhangyue0503/dev-blog/blob/master/php/202008/source/PHP%E4%B8%AD%E6%93%8D%E4%BD%9C%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E9%A2%84%E5%A4%84%E7%90%86%E8%AF%AD%E5%8F%A5.php

参考文档:

https://www.php.net/manual/zh/pdo.prepared-statements.php

===============

关注公众号:【硬核项目经理】获取最新文章

添加微信/QQ好友:【xiaoyuezigonggong/149844827】免费得PHP、项目管理学习资料

知乎、公众号、抖音、头条搜索【硬核项目经理】

B站ID:482780532

PHP中操作数据库的预处理语句的更多相关文章

  1. 总结一些关于操作数据库是sql语句还是存储过程问题

    总结一些关于操作数据库是sql语句还是存储过程问题 程序中,你跟数据的交互,需要向数据库拿数据.更改数据库的数据等,这些操作,本身不是程序完成的,而是程序发命令给数据库去做的,不管是通过sql语句方式 ...

  2. jmeter中操作数据库

    jmeter是如何操作数据库的? 步骤一:导入jdbc的jar包,jmeter本身不能直接连接mysql,所以需要导入第三方的jar包来连接mysql 点击测试计划,添加classpath,选择mys ...

  3. YII2中操作数据库的方式

    一.以createCommand方式: // YII2中通过createCommand来处理数据库 // 查询多条记录 // {{%user}} 表示如果设置了表前缀,YII会自动帮你替换 $data ...

  4. python中操作数据库

    python中要操作数据库,要使用该数据库在python中对应的驱动库,本文介绍python操作mysql数据库 1.首先安装pymysql 2.导入库 3.建立连接 4.建立游标 5.发起请求 6. ...

  5. 【C++】C++中assert和ENDEGU预处理语句

    assert 断言语句是C++中的一种预处理宏语句,它能在程序运行时根据否定条件中断程序. C++中的assert()函数可以实现断言功能,在使用assert函数之前应该先引入<cassert& ...

  6. Android开发12——Andorid中操作数据库的insert的两种方法以及nullColumnHack

    一.发现问题 先看两种方法插入数据 public void save(Person p){ SQLiteDatabase db = dbHelper.getWritableDatabase(); db ...

  7. 在VC中向数据库提交SLQ语句

    1.通过链接对象执行SQL语句 mfc没有提供对ado的操作类,它对ado的操作是通过智能指针来完成,要创建ado连接对象,需要像下面代码一样先定义一个连接对象的智能指针: _ConnectionPt ...

  8. 在nodejs中操作数据库(MongoDB和MySQL为例)

    一.使用nodejs操作MongoDB数据库 ①使用官方的mongodb包来操作 ②使用第三方的mongoose包来操作(比较常用) // 首先必须使MongoDB数据库保持开启状态 // npm下载 ...

  9. linux中操作数据库的使用命令记录

    1,mysql 查看数据库表编码格式: show create table widget; 修改数据库表编码格式: alter table widget default character set u ...

随机推荐

  1. 解决docker-compose下载过慢

    https://blog.csdn.net/baidu_21349635/article/details/104628772

  2. 常见web中间件漏洞(五)weblogic漏洞

    继续整理有关中间件漏洞思路(仅做简单思路整理,不是复现,复现请参考大佬们的长篇好文,会在文章中列举部分操作) WebLogic是Oracle公司出品的一个application server,确切的说 ...

  3. mybaits进阶01

    在以上mybait入门的改进(增加了接口让增删改查 后期跟容易) 注意:主配置文件和映射配置文件内容不变,但是映射文件要和对应接口放于同目录下并且名称必须相同 一.接口创建 public interf ...

  4. virtualenv 创建python虚拟环境

    为什么要创建python虚拟环境 在开发Python应用程序的时候,系统安装的Python3只有一个版本:3.4.所有第三方的包都会被pip安装到Python3的site-packages目录下. 如 ...

  5. 2、二进制安装K8s 之 部署ETCD集群

    二进制安装K8s 之 部署ETCD集群 一.下载安装cfssl,用于k8s证书签名 二进制包地址:https://pkg.cfssl.org/ 所需软件包: cfssl 1.6.0 cfssljson ...

  6. C#中使用WavHelper保存录音数据为wav文件

    C#将录音数据文件保存为wav格式文件,这里使用到的是WavHelper工具类. WavHelper工具类: using System; using System.Collections.Generi ...

  7. 字符串拷贝函数递归与非递归的C语言实现

    初学递归的时候,觉得很抽象,不好分析,确实如此,尤其是有些时候控制语句不对,导致程序进去无限次的调用,更严重的是栈溢出.既要正确的控制结束语句,又要有正确的进入下次递归的语句,还要有些操作语句.... ...

  8. 2020年秋游戏开发-Gluttonous Snake

    此作业要求参考https://edu.cnblogs.com/campus/nenu/2020Fall/homework/11577 GitHub地址为https://github.com/15011 ...

  9. Web应用安全防护-WAF

    web应用开发中不可避免需要考虑web应用的安全问题,那么常见的安全风险包含哪些呢? Web应用常见的安全风险 在web应用开发中可能存在以下的安全风险: 安全风险Top 10 A1:2017-注入 ...

  10. 工作效率:通过pycharm的模板代码减少重复工作

    摘要 在常见的业务开发场景下,经常要开发大量重复的代码,这里代码耗时但又必要,就像我们写分析报告一样,每次都要为固定的格式耗费精力.我们可以更加日常开发经验总结出一些常用的模板代码来帮助我们实现一秒五 ...