# PHP MySQL 預處理語句 MySQL 從4.1版本開始提供了一種名為預處理語句（prepared statement）的機制。 MySQL 預處理語句不僅大大減少了需要傳輸的數據量，還提高了命令的處理效率。 預處理語句對于防止 MySQL 注入是非常有用的。 ## 預處理語句及綁定參數 預處理語句用于執行多個相同的 SQL 語句，并且執行效率更高。 預處理語句的工作原理如下： 預處理：創建 SQL 語句模板并發送到數據庫。預留的值使用參數 "?" 標記 。例如：INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?) 數據庫解析，編譯，對SQL語句模板執行查詢優化，并存儲結果不輸出 執行：最后，將應用綁定的值傳遞給參數（"?" 標記），數據庫執行語句。應用可以多次執行語句，如果參數的值不一樣。 相比于直接執行SQL語句，預處理語句有兩個主要優點： 預處理語句大大減少了分析時間，只做了一次查詢（雖然語句多次執行） 綁定參數減少了服務器帶寬，你只需要發送查詢的參數，而不是整個語句 預處理語句針對SQL注入是非常有用的，因為 參數值發送后使用不同的協議，保證了數據的合法性。 ## MySQLi 預處理語句 ```php $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"); $stmt->bind_param("sss", $firstname, $lastname, $email); // 設置參數并執行 $firstname = "John"; $lastname = "Doe"; $email = "john@example.com"; $stmt->execute(); $firstname = "Mary"; $lastname = "Moe"; $email = "mary@example.com"; $stmt->execute(); $firstname = "Julie"; $lastname = "Dooley"; $email = "julie@example.com"; $stmt->execute(); echo "New records created successfully"; $stmt->close(); $conn->close(); ``` ## PDO 中的預處理語句 ```php try { $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); // 設置 PDO 錯誤模式為異常 $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // 預處理 SQL 并綁定參數 $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (:firstname, :lastname, :email)"); $stmt->bindParam(':firstname', $firstname); $stmt->bindParam(':lastname', $lastname); $stmt->bindParam(':email', $email); // 插入行 $firstname = "John"; $lastname = "Doe"; $email = "john@example.com"; $stmt->execute(); // 插入其他行 $firstname = "Mary"; $lastname = "Moe"; $email = "mary@example.com"; $stmt->execute(); // 插入其他行 $firstname = "Julie"; $lastname = "Dooley"; $email = "julie@example.com"; $stmt->execute(); echo "New records created successfully"; } catch(PDOException $e) { echo $sql . "<br>" . $e->getMessage(); } ```