本篇文章給大家詳細介紹PHP中操作資料庫的預處理語句(附程式碼)。有一定的參考價值,有需要的朋友可以參考一下,希望對大家有幫助。
今天這篇文章的內容其實也是非常基礎的內容,不過在在現代化的開發中,大家都使用框架,已經很少人會去自己封裝或經常寫底層的資料庫操作程式碼了。所以這回我們就來複習一下資料庫中相關擴充中的預處理語句內容。
預處理語句,可以把它看作是想要執行的 SQL 語句的一種編譯過的模板,它可以使用變數參數來控制。預處理語句可以帶來兩大好處:
查詢只需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢準備好後,資料庫將分析、編譯和最佳化執行該查詢的計畫。對於複雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重複相同的查詢,那麼該過程將大大降低應用程式的速度。透過使用預處理語句,可以避免重複分析/編譯/最佳化週期。簡言之,預處理語句佔用較少的資源,因而運作得更快。
提供給預處理語句的參數不需要用引號括起來,驅動程式會自動處理。如果應用程式只使用預處理語句,可以確保不會發生SQL 注入。 (然而,如果查詢的其他部分是由未轉義的輸入來建構的,則仍有 SQL 注入的風險)。
上述內容是摘自官方文件的說明,但其實預處理語句帶給我們最直觀的好處就是能夠有效地預防 SQL 注入。關於 SQL 注入的內容我們將來在學習 MySQL 的時候再進行深入的學習,這裡就不過多地介紹了,反正預處理語句就是可以完成這項工作就好了。
在PHP 的擴充中,PDO 已經是主流的核心資料庫擴充庫,自然它對預處理語句的支援也是非常全面的。
$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', ''); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // :xxx 占位符 $stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)"); $stmt->bindParam(':username', $username); $stmt->bindParam(':password', $password); $stmt->bindParam(':salt', $salt); $username = 'one'; $password = '123123'; $salt = 'aaa'; $stmt->execute(); $username = 'two'; $password = '123123'; $salt = 'bbb'; $stmt->execute();
在程式碼中,我們使用 prepare() 方法定義預處理語句,這個方法會傳回一個 PDOStatement 物件。在預處理的語句內使用 :xxx 這樣的佔位符號,並在外部使用 PDOStatement 物件的 bindParam() 方法為這些佔位符綁定上變數。最後透過 execute() 來真正執行 SQL 語句。
從這段程式碼中,我們就可以看到預處理語句的兩大優勢的體現。首先是佔位符,使用佔位符之後,我們就不用在 SQL 語句中去寫單引號,單引號往往就是 SQL 注入的主要漏洞來源。 bindParam() 方法會自動轉換綁定資料的型別。當然,bindParam() 方法也可以在可選的參數中指定綁定的資料類型,這樣就能讓我們的程式碼更加安全了,大家可以查閱相關的文件。
另一個優點就是模板的能力,我們只定義了一個 PDOStatement 對象,然後透過改變資料的內容,就可以多次使用 execute() 方法去執行預處理語句。
佔位符還有另一種寫法,就是使用一個問號來作為佔位符號,在這種情況下,bindParam() 方法的鍵名就要使用數字下標了。這裡要注意的是,數字下標是從 1 開始的。
// ? 占位符 $stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)"); $stmt->bindParam(1, $username); $stmt->bindParam(2, $password); $stmt->bindParam(3, $salt); $username = 'three'; $password = '123123'; $salt = 'ccc'; $stmt->execute();
在我們的查詢中,也是可以方便地使用預處理語句的功能進行資料查詢的。在這裡,我們直接使用 execute() 來為佔位符傳遞參數。
// 查询获取数据 $stmt = $pdo->prepare("select * from zyblog_test_user where username = :username"); $stmt->execute(['username'=>'one']); while($row = $stmt->fetch()){ print_r($row); }
雖然說主流是PDO ,而且大部分框架中使用的也是PDO ,但我們在寫腳本,或者需要快速測試一些功能的時候,還是會使用mysqli 來快速地開發。當然,mysqli 也是支援預處理語句相關功能的。
// mysqli 预处理 $conn = new mysqli('127.0.0.1', 'root', '', 'blog_test'); $username = 'one'; $stmt = $conn->prepare("select username from zyblog_test_user where username = ?"); $stmt->bind_param("s", $username); $stmt->execute(); echo $stmt->bind_result($unames); var_dump($unames); while ($stmt->fetch()) { printf("%s\n", $unames); }
可以看出,mysqli 除了方法名稱不同之外,綁定參數的鍵名也不完全的相同,這裡我們使用的是問號佔位,在bind_param() 方法中,是使用s來表示符號位置,如果是多個參數,就要寫成sss... 這樣。
預處理語句的能力在現在的框架中都已經幫我們封裝好了,其實我們並不需要太關心,就像Laravel 使用DB::select() 進行資料庫操作時,我們就可以看到預處理語句的應用。
大家可以自行查閱 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法。
測試程式碼:
https://github.com/zhangyue0503/dev-blog/blob/master/php/202008/source/PHP%E4%B8%AD%E6%93%8D%E4%BD%9C%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E9%A2%84%E5%A4%84%E7%90%86%E8%AF%AD%E5%8F%A5.php
推薦學習:php影片教學
#以上是詳細介紹PHP中操作資料庫的預處理語句(附程式碼)的詳細內容。更多資訊請關注PHP中文網其他相關文章!