PHP预处理主要是用来防SQL注入的,开发程序的都明白这样一个道理,不能相信用户的任何输入,如果用户输入问题你没有做相应的安全,

那么:你的程序是很危险的,很容易被攻击的!预处理:只分析两个:mysqli和PDO,因为这两个是PHP开发者用得比较多的;

mysql 在PHP 高版本里边已经不支持了。

一、Mysqli预处理防SQL注入

博主讲解了mysqli预处理的全部,包含增、删、改、查的预处理,不过:一般用不上这么多。主要是插入数据做好预处理即可!其它的是否做预处理要根据你的场景来;

<?php

$serveraddress='localhost';  //服务器地址

$user='root';  //用户名

$password='root'; //密码

$database='test'; //数据库

$mysqli  = new  mysqli ( $serveraddress ,  $user ,  $password ,  $database );

if ( mysqli_connect_errno ()) {

    printf ( "Connect failed: %s\n" ,  mysqli_connect_error ());

    exit();

}

$mysqli->set_charset( "utf8" ); // 设置字符集

$catname='test';

$parentid=12;

//mysqli插入

$sql='insert into cat (cat_name,parent_id) values(?,?)';

$stmt=$mysqli->prepare($sql);

$stmt->bind_param('si',$catname,$parentid );

/*

i  整型integer

d  双精度浮点型double

s  字符串string

b  是一个blob和将发送数据包

*/

$stmt->execute();

if($id=$stmt->insert_id){

    echo $id; //得到插入返回的ID

}

$catname='test';

$catid=66;

//mysqli修改

$sql='update cat set cat_name=? where cat_id=?';

$stmt=$mysqli->prepare($sql);

$stmt->bind_param('si',$catname,$catid );

if($stmt->execute()){

    echo '修改成功!';

}

$catid=68;

//mysqli删除

$sql='delete from cat where cat_id=?';

$stmt=$mysqli->prepare($sql);

$stmt->bind_param('i',$catid );

if($stmt->execute()){

    echo '删除成功!!';

}

$catid=10;

//mysqli查询多行

$sql='select cat_name,parent_id from cat where cat_id<?';

$stmt=$mysqli->prepare($sql);

$stmt->bind_param('i',$catid );

$stmt->execute();

$stmt -> bind_result ( $name ,  $code );//这里参数跟你查询的字段显示个数需要对应起来!

while ( $stmt -> fetch ()) {

    echo $name.'=>'.$code;

}

$catid=12;

//mysqli查询一行

$sql='select cat_name,parent_id from cat where cat_id=?';

$stmt=$mysqli->prepare($sql);

$stmt->bind_param('i',$catid );

$stmt->execute();

$stmt -> bind_result ( $name ,  $code );

while ( $stmt -> fetch ()) {

    echo $name.'=>'.$code;

}

二、PDO预处理防SQL注入

PDO面向对象函数有很多,都可以综合运用的,以下是博客有了不同函数实现的效果,一定要明白函数的原理,有很多函数它的作用其实是一样的;你只需要记住几个步骤:

1:连接数据库

2:设置字符集

3:准备SQL语句

4:替换SQL语句

5:发送SQL语句

6:得到SQL结果,可以是值,可以是布尔型,也可以是对象,数组等;

同样,PDO博主也做了它的增、删、改、查,虽然说并不是完全有必要,但是总会有一些项目,它的这些都需要做预处理的;记住:永远不要相信用户的任何输入!

<?php

$dsn  =  'mysql:dbname=test;host=localhost' ;//数据库类型,数据库,主机名

$user  =  'root' ;//用户名

$password  =  'root' ; //密码

$conn  = new  PDO ( $dsn ,  $user ,  $password );

$conn->exec("set names utf8"); //设置字符集

$catname='test';

$parentid=66;

$sql='insert into cat (cat_name,parent_id) values(:catname,:parentid)';

//PDO插入方法一

$sth=$conn->prepare($sql,array( PDO :: ATTR_CURSOR  =>  PDO :: CURSOR_FWDONLY));

$sth->execute(array(':catname'=>$catname,':parentid'=>$parentid));

if($id=$conn->lastInsertId()){

    echo $id; //得到插入返回的ID

}

//PDO插入方法二

$sth=$conn->prepare($sql);

$sth -> bindParam ( ':catname' ,  $catname ,  PDO :: PARAM_STR );

$sth -> bindParam ( ':parentid' , $parentid ,  PDO :: PARAM_INT ,  12 );//参数标识,绑定的变量名,参数类型(选填),数据类型长度(选填)

$sth -> execute ();

if($id=$conn->lastInsertId()){

    echo $id; //得到插入返回的ID

}

$catname='test';

$catid=88;

//PDO修改

$sql='update cat set cat_name=? where cat_id=?';

$sth=$conn->prepare($sql);

$sth->bindParam(1, $catname);

$sth->bindParam(2,$catid);

if($sth->execute()){

    echo '修改成功!';

}

$catid=91;

//PDO删除

$sql='delete from cat where cat_id=:catid';

$sth=$conn->prepare($sql);

$sth->bindValue(':catid',$catid,PDO::PARAM_INT);

if($sth->execute()){

    echo '删除成功!';

}

$catid=10;

//PDO查询多行

$sql='select cat_name,parent_id from cat where cat_id<?';

$sth=$conn->prepare($sql);

$sth->bindParam(1,$catid);

$sth->execute();

$result=$sth->fetchAll();

//var_dump($result);

foreach ($result as $k => $v){

    echo $v['cat_name'].'=>'.$v['parent_id'];

}

$catid=12;

//PDO查询一行

$sql='select cat_name,parent_id from cat where cat_id=:catid';

$sth=$conn->prepare($sql);

$sth->bindParam(':catid',$catid);

$sth->execute();

$result=$sth->fetch(PDO::FETCH_ASSOC);

var_dump($result);

/*

 FETCH_ASSOC、FETCH_BOTH、FETCH_BOUND、FETCH_CLASS、FETCH_COLUMN、FETCH_FUNC、GROUP、INTO、KEY_PAIR、LAZY、NAMED、NUM、OBJ、ORI_ABS......

 */

PHP(Mysqli和PDO)预处理的更多相关文章

  1. PHP连接MySQL数据库的三种方式(mysql、mysqli、pdo)

    PHP与MySQL的连接有三种API接口,分别是:PHP的MySQL扩展 .PHP的mysqli扩展 .PHP数据对象(PDO) ,下面针对以上三种连接方式做下总结,以备在不同场景下选出最优方案. P ...

  2. MySQLi 和 PDO 连接 MySQL

    PHP 连接 MySQL PHP 5 及以上版本建议使用以下方式连接 MySQL : MySQLi extension ("i" 意为 improved) PDO (PHP Dat ...

  3. 使用 MySQLi 和 PDO 向 MySQL 插入多条数据

    PHP MySQL 插入多条数据 使用 MySQLi 和 PDO 向 MySQL 插入多条数据 mysqli_multi_query() 函数可用来执行多条SQL语句. 以下实例向 "MyG ...

  4. 解决 Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in

    转载 php 5个版本,5.2.5.3.5.4.5.5,怕跟不上时代,新的服务器直接上5.5,但是程序出现如下错误:Deprecated: mysql_connect(): The mysql ext ...

  5. mysql、mysqli、PDO一句话概括比较

    mysql.mysqli.PDO一句话概括比较 1 mysql扩展 (注:原始的,较差) 2 mysqli扩展(面向过程式) (注:比上面多了更多功能) 3 mysqli扩展(面向对象式) (注:比上 ...

  6. MySQL pdo预处理能防止sql注入的原因

    MySQL pdo预处理能防止sql注入的原因: 1.先看预处理的语法 $pdo->prepare('select * from biao1 where id=:id'); $pdo->e ...

  7. 解决Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in

    php 5个版本,5.2.5.3.5.4.5.5,怕跟不上时代,新的服务器直接上5.5,但是程序出现如下错误:Deprecated: mysql_connect(): The mysql extens ...

  8. PHP中MySQL、MySQLi和PDO的用法和区别

    PHP的MySQL扩展(优缺点) 设计开发允许PHP应用与MySQL数据库交互的早期扩展.mysql扩展提供了一个面向过程 的接口: 并且是针对MySQL4.1.3或更早版本设计的.因此,这个扩展虽然 ...

  9. [mysql] mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in

    From: http://www.ttlsa.com/php/deprecated-mysql-connect/ php 5个版本,5.2.5.3.5.4.5.5,怕跟不上时代,新的服务器直接上5.5 ...

随机推荐

  1. C语言 · 实现strcmp函数 · 字符串比较

    蓝桥杯练习场上碰到两个此类题了: 算法提高 11-1实现strcmp函数   时间限制:1.0s   内存限制:256.0MB      问题描述 自己实现一个比较字符串大小的函数,也即实现strcm ...

  2. linux下tree命令详解

    linux下tree命令详解linux下的tree就比较强大了,但一般系统并不自带这个命令,需要手动下载安装:sudo apt-get install tree .文件很小,只有31K,但功能可强大了 ...

  3. nfs服务器与客户端配置

    服务器端(PC)配置 ubuntu提供两种NFS服务器:一种以内核模块形式提供,nfs-kernel-server:一种以用户空间程序形式提供,nfs-user-server;两种择一即可.1. 安装 ...

  4. [Django学习]分页

    分页 Django提供了一些类实现管理数据分页,这些类位于django/core/paginator.py中 Paginator对象 Paginator(列表,int):返回分页对象,参数为列表数据, ...

  5. iOS开发小技巧--定义宏和pch文件的使用

    一.创建pch文件,默认跟项目同名 二.告诉系统,编译的时候要编译pch文件的步骤 三.把经常用到的宏  或者  分类 包含到这里

  6. tab标签

    <ul class="nav nav-tabs" role="tablist" role="tablist" id="myT ...

  7. 关于Cocos2d-x发布游戏的时候遇到的问题和解决

    发布经常会遇到各种各样的问题,发布失败会返回一些值,但是这些值并不是重点,要看发布过程中产生的日志才能真正找到问题所在.我在发布自己做的第一个游戏的时候,遇到了各种各样的问题,不过都一一解决,下面是问 ...

  8. C++ Primer学习笔记(二)

    题外话:一工作起来就没有大段的时间学习了,如何充分利用碎片时间是个好问题. 接  C++ Primer学习笔记(一)   27.与 vector 类型相比,数组的显著缺陷在于:数组的长度是固定的,无法 ...

  9. e673. Getting Amount of Free Accelerated Image Memory

    Images in accelerated memory are much faster to draw on the screen. However, accelerated memory is t ...

  10. C++ 编译器用于把源代码编译成最终的可执行程序

    C++ 编译器写在源文件中的源代码是人类可读的源.它需要"编译",转为机器语言,这样 CPU 可以按给定指令执行程序. C++ 编译器用于把源代码编译成最终的可执行程序. 大多数的 ...