本篇內容介紹了“PHP中數據庫的預處理語句有哪些”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

創(chuàng)新互聯是一家專業(yè)提供昌寧企業(yè)網站建設,專注與成都做網站、網站建設、成都h5網站建設、小程序制作等業(yè)務。10年已為昌寧眾多企業(yè)、政府機構等服務。創(chuàng)新互聯專業(yè)網站制作公司優(yōu)惠進行中。

PHP中操作數據庫的預處理語句

今天這篇文章的內容其實也是非?；A的內容，不過在現代化的開發(fā)中，大家都使用框架，已經很少人會去自己封裝或者經常寫底層的數據庫操作代碼了。所以這回我們就來復習一下數據庫中相關擴展中的預處理語句內容。

什么是預處理語句？

預處理語句，可以把它看作是想要運行的 SQL 語句的一種編譯過的模板，它可以使用變量參數進行控制。預處理語句可以帶來兩大好處：

• 查詢僅需解析（或預處理）一次，但可以用相同或不同的參數執(zhí)行多次。當查詢準備好后，數據庫將分析、編譯和優(yōu)化執(zhí)行該查詢的計劃。對于復雜的查詢，此過程要花費較長的時間，如果需要以不同參數多次重復相同的查詢，那么該過程將大大降低應用程序的速度。通過使用預處理語句，可以避免重復分析/編譯/優(yōu)化周期。簡言之，預處理語句占用更少的資源，因而運行得更快。

• 提供給預處理語句的參數不需要用引號括起來，驅動程序會自動處理。如果應用程序只使用預處理語句，可以確保不會發(fā)生SQL 注入。（然而，如果查詢的其他部分是由未轉義的輸入來構建的，則仍存在 SQL 注入的風險）。

上述內容是摘自官方文檔的說明，但其實預處理語句帶給我們最直觀的好處就是能夠有效地預防 SQL 注入。關于 SQL 注入的內容我們將來在學習 MySQL 的時候再進行深入的學習，這里就不過多地介紹了，反正預處理語句就是可以完成這項工作就好了。

PDO 操作預處理語句

在 PHP 的擴展中，PDO 已經是主流的核心數據庫擴展庫，自然它對預處理語句的支持也是非常全面的。

$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', '');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// :xxx 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->bindParam(':salt', $salt);

$username = 'one';
$password = '123123';
$salt = 'aaa';
$stmt->execute();

$username = 'two';
$password = '123123';
$salt = 'bbb';
$stmt->execute();

在代碼中，我們使用 prepare() 方法定義預處理語句，這個方法會返回一個 PDOStatement 對象。在預處理的語句內使用 :xxx 這樣的占位符號，并在外部使用 PDOStatement 對象的 bindParam() 方法為這些占位符綁定上變量。最后通過 execute() 來真正地執(zhí)行 SQL 語句。

從這段代碼中，我們就可以看到預處理語句的兩大優(yōu)勢的體現。首先是占位符，使用占位符之后，我們就不用在 SQL 語句中去寫單引號，單引號往往就是 SQL 注入的主要漏洞來源。bindParam() 方法會自動地轉換綁定數據的類型。當然，bindParam() 方法也可以在可選的參數中指定綁定的數據類型，這樣就能讓我們的代碼更加安全了，大家可以查閱相關的文檔。

另一個優(yōu)勢就是模板的能力，我們只定義了一個 PDOStatement 對象，然后通過改變數據的內容，就可以多次地使用 execute() 方法去執(zhí)行預處理語句。

占位符還有另一種寫法，就是使用一個問號來作為占位符號，在這種情況下，bindParam() 方法的鍵名就要使用數字下標了。這里需要注意的是，數字下標是從 1 開始的。

// ? 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)");
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);

$username = 'three';
$password = '123123';
$salt = 'ccc';
$stmt->execute();

在我們的查詢中，也是可以方便地使用預處理語句的功能進行數據查詢的。在這里，我們直接使用 execute() 來為占位符傳遞參數。

// 查詢獲取數據
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

$stmt->execute(['username'=>'one']);

while($row = $stmt->fetch()){
    print_r($row);
}

mysqli 操作預處理語句

雖說主流是 PDO ，而且大部分框架中使用的也是 PDO ，但我們在寫腳本，或者需要快速地測試一些功能的時候，還是會使用 mysqli 來快速地開發(fā)。當然，mysqli 也是支持預處理語句相關功能的。

// mysqli 預處理
$conn = new mysqli('127.0.0.1', 'root', '', 'blog_test');
$username = 'one';
$stmt = $conn->prepare("select username from zyblog_test_user where username = ?");
$stmt->bind_param("s", $username);

$stmt->execute();

echo $stmt->bind_result($unames);

var_dump($unames);

while ($stmt->fetch()) {
    printf("%s\n", $unames);
}

可以看出，mysqli 除了方法名不同之外，綁定參數的鍵名也不完全的相同，這里我們使用的是問號占位，在 bind_param() 方法中，是使用 s 來表示符號位置，如果是多個參數，就要寫成 sss... 這樣。

“PHP中數據庫的預處理語句有哪些”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關的知識可以關注創(chuàng)新互聯網站，小編將為大家輸出更多高質量的實用文章！