php預(yù)處理執(zhí)行為什么

預(yù)處理語句與存儲(chǔ)過程 ：

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供蘭考網(wǎng)站建設(shè)、蘭考做網(wǎng)站、蘭考網(wǎng)站設(shè)計(jì)、蘭考網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、蘭考企業(yè)網(wǎng)站模板建站服務(wù)，10多年蘭考做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

很多更成熟的數(shù)據(jù)庫都支持預(yù)處理語句的概念。什么是預(yù)處理語句？可以把它看作是想要運(yùn)行的 SQL 的一種編譯過的模板，它可以使用變量參數(shù)進(jìn)行定制。預(yù)處理語句可以帶來兩大好處：

查詢僅需解析（或預(yù)處理）一次，但可以用相同或不同的參數(shù)執(zhí)行多次。當(dāng)查詢準(zhǔn)備好后，數(shù)據(jù)庫將分析、編譯和優(yōu)化執(zhí)行該查詢的計(jì)劃。對(duì)于復(fù)雜的查詢，此過程要花費(fèi)較長的時(shí)間，如果需要以不同參數(shù)多次重復(fù)相同的查詢，那么該過程將大大降低應(yīng)用程序的速度。通過使用預(yù)處理語句，可以避免重復(fù)分析/編譯/優(yōu)化周期。簡言之，預(yù)處理語句占用更少的資源，因而運(yùn)行得更快。

提供給預(yù)處理語句的參數(shù)不需要用引號(hào)括起來，驅(qū)動(dòng)程序會(huì)自動(dòng)處理。如果應(yīng)用程序只使用預(yù)處理語句，可以確保不會(huì)發(fā)生SQL 注入。（然而，如果查詢的其他部分是由未轉(zhuǎn)義的輸入來構(gòu)建的，則仍存在 SQL 注入的風(fēng)險(xiǎn)）。

預(yù)處理語句如此有用，以至于它們唯一的特性是在驅(qū)動(dòng)程序不支持的時(shí)PDO 將模擬處理。這樣可以確保不管數(shù)據(jù)庫是否具有這樣的功能，都可以確保應(yīng)用程序可以用相同的數(shù)據(jù)訪問模式。

Example #1 用預(yù)處理語句進(jìn)行重復(fù)插入

下面例子通過用?name?和?value?替代相應(yīng)的命名占位符來執(zhí)行一個(gè)插入查詢

?php

$stmt?=?$dbh-prepare("INSERT?INTO?REGISTRY?(name,?value)?VALUES?(:name,?:value)");

$stmt-bindParam(':name',?$name);

$stmt-bindParam(':value',?$value);

//?插入一行

$name?=?'one';

$value?=?1;

$stmt-execute();

//??用不同的值插入另一行

$name?=?'two';

$value?=?2;

$stmt-execute();

?

Example #2 用預(yù)處理語句進(jìn)行重復(fù)插入

下面例子通過用?name?和?value?取代???占位符的位置來執(zhí)行一條插入查詢。

?php

$stmt?=?$dbh-prepare("INSERT?INTO?REGISTRY?(name,?value)?VALUES?(?,??)");

$stmt-bindParam(1,?$name);

$stmt-bindParam(2,?$value);

//?插入一行

$name?=?'one';

$value?=?1;

$stmt-execute();

//?用不同的值插入另一行

$name?=?'two';

$value?=?2;

$stmt-execute();

?

Example #3 使用預(yù)處理語句獲取數(shù)據(jù)

下面例子獲取數(shù)據(jù)基于鍵值已提供的形式。用戶的輸入被自動(dòng)用引號(hào)括起來，因此不會(huì)有 SQL 注入攻擊的危險(xiǎn)。

?php

$stmt?=?$dbh-prepare("SELECT?*?FROM?REGISTRY?where?name?=??");

if?($stmt-execute(array($_GET['name'])))?{

while?($row?=?$stmt-fetch())?{

print_r($row);

}

}

?

如果數(shù)據(jù)庫驅(qū)動(dòng)支持，應(yīng)用程序還可以綁定輸出和輸入?yún)?shù).輸出參數(shù)通常用于從存儲(chǔ)過程獲取值。輸出參數(shù)使用起來比輸入?yún)?shù)要稍微復(fù)雜一些，因?yàn)楫?dāng)綁定一個(gè)輸出參數(shù)時(shí)，必須知道給定參數(shù)的長度。如果為參數(shù)綁定的值大于建議的長度，就會(huì)產(chǎn)生一個(gè)錯(cuò)誤。

Example #4 帶輸出參數(shù)調(diào)用存儲(chǔ)過程

?php

$stmt?=?$dbh-prepare("CALL?sp_returns_string(?)");

$stmt-bindParam(1,?$return_value,?PDO::PARAM_STR,?4000);?

//?調(diào)用存儲(chǔ)過程

$stmt-execute();

print?"procedure?returned?$return_value\n";

?

還可以指定同時(shí)具有輸入和輸出值的參數(shù)，其語法類似于輸出參數(shù)。在下一個(gè)例子中，字符串“hello”被傳遞給存儲(chǔ)過程，當(dāng)存儲(chǔ)過程返回時(shí)，hello 被替換為該存儲(chǔ)過程返回的值。

Example #5 帶輸入/輸出參數(shù)調(diào)用存儲(chǔ)過程

?php

$stmt?=?$dbh-prepare("CALL?sp_takes_string_returns_string(?)");

$value?=?'hello';

$stmt-bindParam(1,?$value,?PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT,?4000);?

//?調(diào)用存儲(chǔ)過程

$stmt-execute();

print?"procedure?returned?$value\n";

?

Example #6 占位符的無效使用

?php

$stmt?=?$dbh-prepare("SELECT?*?FROM?REGISTRY?where?name?LIKE?'%?%'");

$stmt-execute(array($_GET['name']));

//?占位符必須被用在整個(gè)值的位置

$stmt?=?$dbh-prepare("SELECT?*?FROM?REGISTRY?where?name?LIKE??");

$stmt-execute(array("%$_GET[name]%"));

?

php 普通sql語句，處理成預(yù)處理語句

PHP MySQL 預(yù)處理語句

預(yù)處理語句對(duì)于防止 MySQL 注入是非常有用的。

預(yù)處理語句及綁定參數(shù)

預(yù)處理語句用于執(zhí)行多個(gè)相同的 SQL 語句，并且執(zhí)行效率更高。

預(yù)處理語句的工作原理如下：

預(yù)處理：創(chuàng)建 SQL 語句模板并發(fā)送到數(shù)據(jù)庫。預(yù)留的值使用參數(shù) "?" 標(biāo)記 。例如：

INSERT

INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)

數(shù)據(jù)庫解析，編譯，對(duì)SQL語句模板執(zhí)行查詢優(yōu)化，并存儲(chǔ)結(jié)果不輸出。

執(zhí)行：最后，將應(yīng)用綁定的值傳遞給參數(shù)（"?" 標(biāo)記），數(shù)據(jù)庫執(zhí)行語句。應(yīng)用可以多次執(zhí)行語句，如果參數(shù)的值不一樣。

相比于直接執(zhí)行SQL語句，預(yù)處理語句有兩個(gè)主要優(yōu)點(diǎn)：

預(yù)處理語句大大減少了分析時(shí)間，只做了一次查詢（雖然語句多次執(zhí)行）。

綁定參數(shù)減少了服務(wù)器帶寬，你只需要發(fā)送查詢的參數(shù)，而不是整個(gè)語句。

預(yù)處理語句針對(duì)SQL注入是非常有用的，因?yàn)閰?shù)值發(fā)送后使用不同的協(xié)議，保證了數(shù)據(jù)的合法性。

MySQLi 預(yù)處理語句

以下實(shí)例在 MySQLi 中使用了預(yù)處理語句，并綁定了相應(yīng)的參數(shù):

實(shí)例 (MySQLi 使用預(yù)處理語句)

?php

$servername = "localhost";

$username = "username";

$password = "password";

$dbname = "myDB";

// 創(chuàng)建連接

$conn = new mysqli($servername, $username, $password, $dbname);

// 檢測連接

if ($conn-connect_error) {

die("連接失敗: " . $conn-connect_error);

}

// 預(yù)處理及綁定

$stmt = $conn-prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)");

$stmt-bind_param("sss", $firstname, $lastname, $email);

// 設(shè)置參數(shù)并執(zhí)行

$firstname = "John";

$lastname = "Doe";

$email = "john@example.com";

$stmt-execute();

$firstname = "Mary";

$lastname = "Moe";

$email = "mary@example.com";

$stmt-execute();

$firstname = "Julie";

$lastname = "Dooley";

$email = "julie@example.com";

$stmt-execute();

echo "新記錄插入成功";

$stmt-close();

$conn-close();

?

解析以下實(shí)例的每行代碼:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"

在 SQL 語句中，我們使用了問號(hào) (?)，在此我們可以將問號(hào)替換為整型，字符串，雙精度浮點(diǎn)型和布爾值。

接下來，讓我們來看下 bind_param() 函數(shù)：

$stmt-bind_param("sss", $firstname, $lastname, $email);

該函數(shù)綁定了 SQL 的參數(shù)，且告訴數(shù)據(jù)庫參數(shù)的值。 "sss" 參數(shù)列處理其余參數(shù)的數(shù)據(jù)類型。s 字符告訴數(shù)據(jù)庫該參數(shù)為字符串。

參數(shù)有以下四種類型:

i - integer（整型）

d - double（雙精度浮點(diǎn)型）

s - string（字符串）

b - BLOB（binary large object:二進(jìn)制大對(duì)象）

每個(gè)參數(shù)都需要指定類型。

通過告訴數(shù)據(jù)庫參數(shù)的數(shù)據(jù)類型，可以降低 SQL 注入的風(fēng)險(xiǎn)。

注意： 如果你想插入其他數(shù)據(jù)（用戶輸入），對(duì)數(shù)據(jù)的驗(yàn)證是非常重要的。

PDO 中的預(yù)處理語句

以下實(shí)例我們?cè)?PDO 中使用了預(yù)處理語句并綁定參數(shù):

實(shí)例 (PDO 使用預(yù)處理語句)

?php

$servername = "localhost";

$username = "username";

$password = "password";

$dbname = "myDBPDO";

try {

$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);

// 設(shè)置 PDO 錯(cuò)誤模式為異常

$conn-setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// 預(yù)處理 SQL 并綁定參數(shù)

$stmt = $conn-prepare("INSERT INTO MyGuests (firstname, lastname, email)

VALUES (:firstname, :lastname, :email)");

$stmt-bindParam(':firstname', $firstname);

$stmt-bindParam(':lastname', $lastname);

$stmt-bindParam(':email', $email);

// 插入行

$firstname = "John";

$lastname = "Doe";

$email = "john@example.com";

$stmt-execute();

// 插入其他行

$firstname = "Mary";

$lastname = "Moe";

$email = "mary@example.com";

$stmt-execute();

// 插入其他行

$firstname = "Julie";

$lastname = "Dooley";

$email = "julie@example.com";

$stmt-execute();

echo "新記錄插入成功";

}

catch(PDOException $e)

{

echo $sql . "br" . $e-getMessage();

}

$conn = null;

?

php mysqli 預(yù)處理 怎么綁定參數(shù)

預(yù)處理：創(chuàng)建 SQL 語句模板并發(fā)送到數(shù)據(jù)庫。預(yù)留的值使用參數(shù) "?" 標(biāo)記 。

數(shù)據(jù)庫解析，編譯，對(duì)SQL語句模板執(zhí)行查詢優(yōu)化，并存儲(chǔ)結(jié)果不輸出

執(zhí)行：最后，將應(yīng)用綁定的值傳遞給參數(shù)（"?" 標(biāo)記），數(shù)據(jù)庫執(zhí)行語句。應(yīng)用可以多次執(zhí)行語句，如果參數(shù)的值不一樣。如果你有時(shí)間的話，可以多去后盾人學(xué)習(xí)學(xué)習(xí)，應(yīng)該有更多的體驗(yàn)

php 預(yù)處理命令

試下這代碼 把參數(shù)改成你自己的

?php

include("conn1.php");

$count=mysql_query("select count(*) from uu where u_user='$_POST[uuser]' AND u_pass='$_POST[upass]'"); //獲得記錄總數(shù)

$rs=mysql_fetch_array($count);

$totalNumber=$rs[0];

if ($totalNumber0) {

session_start();

$_SESSION["user1"]=$_POST[uuser];

echo "登陸成功??！3s后跳轉(zhuǎn)主頁";

header("Refresh:3;url=index.php");

}else{

echo "登陸失敗??！賬號(hào)密碼錯(cuò)誤或賬號(hào)不存在、3s后返回登陸頁";

header("Refresh:3;url=denglu.php");

}

?

conn1.php是 連接數(shù)據(jù)庫 的文件