php預處理執(zhí)行為什么

預處理語句與存儲過程 ：

阿拉善盟網(wǎng)站建設公司成都創(chuàng)新互聯(lián),阿拉善盟網(wǎng)站設計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為阿拉善盟上1000+提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站制作要多少錢，請找那個售后服務好的阿拉善盟做網(wǎng)站的公司定做！

很多更成熟的數(shù)據(jù)庫都支持預處理語句的概念。什么是預處理語句？可以把它看作是想要運行的 SQL 的一種編譯過的模板，它可以使用變量參數(shù)進行定制。預處理語句可以帶來兩大好處：

查詢僅需解析（或預處理）一次，但可以用相同或不同的參數(shù)執(zhí)行多次。當查詢準備好后，數(shù)據(jù)庫將分析、編譯和優(yōu)化執(zhí)行該查詢的計劃。對于復雜的查詢，此過程要花費較長的時間，如果需要以不同參數(shù)多次重復相同的查詢，那么該過程將大大降低應用程序的速度。通過使用預處理語句，可以避免重復分析/編譯/優(yōu)化周期。簡言之，預處理語句占用更少的資源，因而運行得更快。

提供給預處理語句的參數(shù)不需要用引號括起來，驅動程序會自動處理。如果應用程序只使用預處理語句，可以確保不會發(fā)生SQL 注入。（然而，如果查詢的其他部分是由未轉義的輸入來構建的，則仍存在 SQL 注入的風險）。

預處理語句如此有用，以至于它們唯一的特性是在驅動程序不支持的時PDO 將模擬處理。這樣可以確保不管數(shù)據(jù)庫是否具有這樣的功能，都可以確保應用程序可以用相同的數(shù)據(jù)訪問模式。

Example #1 用預處理語句進行重復插入

下面例子通過用?name?和?value?替代相應的命名占位符來執(zhí)行一個插入查詢

?php

$stmt?=?$dbh-prepare("INSERT?INTO?REGISTRY?(name,?value)?VALUES?(:name,?:value)");

$stmt-bindParam(':name',?$name);

$stmt-bindParam(':value',?$value);

//?插入一行

$name?=?'one';

$value?=?1;

$stmt-execute();

//??用不同的值插入另一行

$name?=?'two';

$value?=?2;

$stmt-execute();

?

Example #2 用預處理語句進行重復插入

下面例子通過用?name?和?value?取代???占位符的位置來執(zhí)行一條插入查詢。

?php

$stmt?=?$dbh-prepare("INSERT?INTO?REGISTRY?(name,?value)?VALUES?(?,??)");

$stmt-bindParam(1,?$name);

$stmt-bindParam(2,?$value);

//?插入一行

$name?=?'one';

$value?=?1;

$stmt-execute();

//?用不同的值插入另一行

$name?=?'two';

$value?=?2;

$stmt-execute();

?

Example #3 使用預處理語句獲取數(shù)據(jù)

下面例子獲取數(shù)據(jù)基于鍵值已提供的形式。用戶的輸入被自動用引號括起來，因此不會有 SQL 注入攻擊的危險。

?php

$stmt?=?$dbh-prepare("SELECT?*?FROM?REGISTRY?where?name?=??");

if?($stmt-execute(array($_GET['name'])))?{

while?($row?=?$stmt-fetch())?{

print_r($row);

}

}

?

如果數(shù)據(jù)庫驅動支持，應用程序還可以綁定輸出和輸入?yún)?shù).輸出參數(shù)通常用于從存儲過程獲取值。輸出參數(shù)使用起來比輸入?yún)?shù)要稍微復雜一些，因為當綁定一個輸出參數(shù)時，必須知道給定參數(shù)的長度。如果為參數(shù)綁定的值大于建議的長度，就會產(chǎn)生一個錯誤。

Example #4 帶輸出參數(shù)調用存儲過程

?php

$stmt?=?$dbh-prepare("CALL?sp_returns_string(?)");

$stmt-bindParam(1,?$return_value,?PDO::PARAM_STR,?4000);?

//?調用存儲過程

$stmt-execute();

print?"procedure?returned?$return_value\n";

?

還可以指定同時具有輸入和輸出值的參數(shù)，其語法類似于輸出參數(shù)。在下一個例子中，字符串“hello”被傳遞給存儲過程，當存儲過程返回時，hello 被替換為該存儲過程返回的值。

Example #5 帶輸入/輸出參數(shù)調用存儲過程

?php

$stmt?=?$dbh-prepare("CALL?sp_takes_string_returns_string(?)");

$value?=?'hello';

$stmt-bindParam(1,?$value,?PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT,?4000);?

//?調用存儲過程

$stmt-execute();

print?"procedure?returned?$value\n";

?

Example #6 占位符的無效使用

?php

$stmt?=?$dbh-prepare("SELECT?*?FROM?REGISTRY?where?name?LIKE?'%?%'");

$stmt-execute(array($_GET['name']));

//?占位符必須被用在整個值的位置

$stmt?=?$dbh-prepare("SELECT?*?FROM?REGISTRY?where?name?LIKE??");

$stmt-execute(array("%$_GET[name]%"));

?

php mysqli 預處理讀取不到數(shù)據(jù)

我覺得你好像用錯了，你這樣寫難道不會報錯的嗎？

用 prepare 有五步：

prepqre

bind_param

execute

bind_result

fetch

既然是查詢就會有結果，你要先把結果綁定在參數(shù)上接收，然后fetch才有用。

另外執(zhí)行一次 fetch() 只返回一個結果，如果你有多條結果要放在一個循環(huán)里 fetch()。

php 官網(wǎng)的文檔里有詳細的介紹和代碼示例，你可以去看看，還有不明白可以繼續(xù)問我

php 預處理命令

試下這代碼 把參數(shù)改成你自己的

?php

include("conn1.php");

$count=mysql_query("select count(*) from uu where u_user='$_POST[uuser]' AND u_pass='$_POST[upass]'"); //獲得記錄總數(shù)

$rs=mysql_fetch_array($count);

$totalNumber=$rs[0];

if ($totalNumber0) {

session_start();

$_SESSION["user1"]=$_POST[uuser];

echo "登陸成功！！3s后跳轉主頁";

header("Refresh:3;url=index.php");

}else{

echo "登陸失?。?！賬號密碼錯誤或賬號不存在、3s后返回登陸頁";

header("Refresh:3;url=denglu.php");

}

?

conn1.php是 連接數(shù)據(jù)庫 的文件

php 普通sql語句，處理成預處理語句

PHP MySQL 預處理語句

預處理語句對于防止 MySQL 注入是非常有用的。

預處理語句及綁定參數(shù)

預處理語句用于執(zhí)行多個相同的 SQL 語句，并且執(zhí)行效率更高。

預處理語句的工作原理如下：

預處理：創(chuàng)建 SQL 語句模板并發(fā)送到數(shù)據(jù)庫。預留的值使用參數(shù) "?" 標記 。例如：

INSERT

INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)

數(shù)據(jù)庫解析，編譯，對SQL語句模板執(zhí)行查詢優(yōu)化，并存儲結果不輸出。

執(zhí)行：最后，將應用綁定的值傳遞給參數(shù)（"?" 標記），數(shù)據(jù)庫執(zhí)行語句。應用可以多次執(zhí)行語句，如果參數(shù)的值不一樣。

相比于直接執(zhí)行SQL語句，預處理語句有兩個主要優(yōu)點：

預處理語句大大減少了分析時間，只做了一次查詢（雖然語句多次執(zhí)行）。

綁定參數(shù)減少了服務器帶寬，你只需要發(fā)送查詢的參數(shù)，而不是整個語句。

預處理語句針對SQL注入是非常有用的，因為參數(shù)值發(fā)送后使用不同的協(xié)議，保證了數(shù)據(jù)的合法性。

MySQLi 預處理語句

以下實例在 MySQLi 中使用了預處理語句，并綁定了相應的參數(shù):

實例 (MySQLi 使用預處理語句)

?php

$servername = "localhost";

$username = "username";

$password = "password";

$dbname = "myDB";

// 創(chuàng)建連接

$conn = new mysqli($servername, $username, $password, $dbname);

// 檢測連接

if ($conn-connect_error) {

die("連接失敗: " . $conn-connect_error);

}

// 預處理及綁定

$stmt = $conn-prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)");

$stmt-bind_param("sss", $firstname, $lastname, $email);

// 設置參數(shù)并執(zhí)行

$firstname = "John";

$lastname = "Doe";

$email = "john@example.com";

$stmt-execute();

$firstname = "Mary";

$lastname = "Moe";

$email = "mary@example.com";

$stmt-execute();

$firstname = "Julie";

$lastname = "Dooley";

$email = "julie@example.com";

$stmt-execute();

echo "新記錄插入成功";

$stmt-close();

$conn-close();

?

解析以下實例的每行代碼:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"

在 SQL 語句中，我們使用了問號 (?)，在此我們可以將問號替換為整型，字符串，雙精度浮點型和布爾值。

接下來，讓我們來看下 bind_param() 函數(shù)：

$stmt-bind_param("sss", $firstname, $lastname, $email);

該函數(shù)綁定了 SQL 的參數(shù)，且告訴數(shù)據(jù)庫參數(shù)的值。 "sss" 參數(shù)列處理其余參數(shù)的數(shù)據(jù)類型。s 字符告訴數(shù)據(jù)庫該參數(shù)為字符串。

參數(shù)有以下四種類型:

i - integer（整型）

d - double（雙精度浮點型）

s - string（字符串）

b - BLOB（binary large object:二進制大對象）

每個參數(shù)都需要指定類型。

通過告訴數(shù)據(jù)庫參數(shù)的數(shù)據(jù)類型，可以降低 SQL 注入的風險。

注意： 如果你想插入其他數(shù)據(jù)（用戶輸入），對數(shù)據(jù)的驗證是非常重要的。

PDO 中的預處理語句

以下實例我們在 PDO 中使用了預處理語句并綁定參數(shù):

實例 (PDO 使用預處理語句)

?php

$servername = "localhost";

$username = "username";

$password = "password";

$dbname = "myDBPDO";

try {

$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);

// 設置 PDO 錯誤模式為異常

$conn-setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// 預處理 SQL 并綁定參數(shù)

$stmt = $conn-prepare("INSERT INTO MyGuests (firstname, lastname, email)

VALUES (:firstname, :lastname, :email)");

$stmt-bindParam(':firstname', $firstname);

$stmt-bindParam(':lastname', $lastname);

$stmt-bindParam(':email', $email);

// 插入行

$firstname = "John";

$lastname = "Doe";

$email = "john@example.com";

$stmt-execute();

// 插入其他行

$firstname = "Mary";

$lastname = "Moe";

$email = "mary@example.com";

$stmt-execute();

// 插入其他行

$firstname = "Julie";

$lastname = "Dooley";

$email = "julie@example.com";

$stmt-execute();

echo "新記錄插入成功";

}

catch(PDOException $e)

{

echo $sql . "br" . $e-getMessage();

}

$conn = null;

?