# PHP MySQL 預處理語句
預處理語句對于防止 MySQL 注入是非常有用的。
## 預處理語句及綁定參數
預處理語句用于執行多個相同的 SQL 語句,并且執行效率更高。
預處理語句的工作原理如下:
1. 預處理:創建 SQL 語句模板并發送到數據庫。預留的值使用參數 "?" 標記 。例如:INSERT INTO MyGuests VALUES(?, ?, ?)
2. 數據庫解析,編譯,對SQL語句模板執行查詢優化,并存儲結果不輸出
3. 執行:最后,將應用綁定的值傳遞給參數("?" 標記),數據庫執行語句。應用可以多次執行語句,如果參數的值不一樣。
相比于直接執行SQL語句,預處理語句有兩個主要優點:
* 預處理語句大大減少了分析時間,只做了一次查詢(雖然語句多次執行)
* 綁定參數減少了服務器帶寬,你只需要發送查詢的參數,而不是整個語句
* 預處理語句針對SQL注入是非常有用的,因為 參數值發送后使用不同的協議,保證了數據的合法性。
## MySQLi 預處理語句
以下實例在 MySQLi 中使用了預處理語句,并綁定了相應的參數:
## 實例 (MySQLi 使用預處理語句)
```
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 創建連接
$conn = new mysqli($servername, $username, $password, $dbname);
// 檢測連接
if ($conn->connect_error) {
??? die("Connection failed: " . $conn->connect_error);
}
// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests VALUES(?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// 設置參數并執行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "New records created successfully";
$stmt->close();
$conn->close();
?>
```
解析以下實例的每行代碼:
```
"INSERT INTO MyGuests VALUES(?, ?, ?)"
```
在 SQL 語句中,我們使用了問號 (?),在此我們可以將問號替換為整型,字符串,雙精度浮點型和布爾值。
接下來,讓我們來看下 bind_param() 函數:
```
$stmt->bind_param("sss", $firstname, $lastname, $email);
```
該函數綁定了 SQL 的參數,且告訴數據庫參數的值。 "sss" 參數列處理其余參數的數據類型。s 字符告訴數據庫該參數為字符串。
參數有以下四種類型:
* i - integer(整型)
* d - double(雙精度浮點型)
* s - string(字符串)
* b - BLOB(布爾值)
每個參數都需要指定類型。
通過告訴數據庫參數的數據類型,可以降低 SQL 注入的風險。
> 
> **注意:** 如果你想插入其他數據(用戶輸入),對數據的驗證是非常重要的。
## PDO 中的預處理語句
以下實例我們在 PDO 中使用了預處理語句并綁定參數:
## 實例 (PDO 使用預處理語句)
```
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
??? $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
??? // 設置 PDO 錯誤模式為異常
??? $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
??? // 預處理 SQL 并綁定參數
??? $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
??? VALUES (:firstname, :lastname, :email)");
??? $stmt->bindParam(':firstname', $firstname);
??? $stmt->bindParam(':lastname', $lastname);
??? $stmt->bindParam(':email', $email);
??? // 插入行
??? $firstname = "John";
??? $lastname = "Doe";
??? $email = "john@example.com";
??? $stmt->execute();
??? // 插入其他行
??? $firstname = "Mary";
??? $lastname = "Moe";
??? $email = "mary@example.com";
??? $stmt->execute();
??? // 插入其他行
??? $firstname = "Julie";
??? $lastname = "Dooley";
??? $email = "julie@example.com";
??? $stmt->execute();
??? echo "New records created successfully";
??? }
catch(PDOException $e)
??? {
??? echo $sql . "<br>" . $e->getMessage();
??? }
$conn = null;
?>
```
- PHP 基礎
- PHP 簡介
- PHP 安裝
- PHP 語法
- PHP 變量
- PHP 5 echo 和 print 語句
- PHP 數據類型
- PHP 字符串函數
- PHP 常量
- PHP 運算符
- PHP if...else...elseif 語句
- PHP Switch 語句
- PHP while 循環
- PHP for 循環
- PHP 函數
- PHP 數組
- PHP 數組排序
- PHP 全局變量 - 超全局變量
- PHP 魔術變量
- PHP 命名空間(namespace)
- PHP 表單
- PHP 表單處理
- PHP 表單驗證
- PHP 表單驗證 - 必填字段
- PHP 表單驗證 - 驗證 E-mail 和 URL
- PHP 表單驗證 - 完成表單實例
- PHP $_GET 變量
- PHP $_POST 變量
- PHP 高級
- PHP 多維數組
- PHP 日期和時間
- PHP Include 文件
- PHP 文件處理
- PHP 文件打開/讀取/讀取
- PHP 文件創建/寫入
- PHP 文件上傳
- PHP Cookies
- PHP Sessions
- PHP 發送電子郵件
- PHP 安全的電子郵件
- PHP 錯誤處理
- PHP 異常處理
- PHP 過濾器(Filter)
- PHP JSON
- PHP 數據庫
- PHP MySQL 簡介
- PHP 連接 MySQL
- PHP MySQL 創建數據庫
- PHP 創建 MySQL 表
- PHP MySQL 插入數據
- PHP MySQL 插入多條數據
- PHP MySQL 預處理語句
- PHP MySQL 讀取數據
- PHP MySQL Where 子句
- PHP MySQL Order By 關鍵詞
- PHP MySQL Update
- PHP MySQL Delete
- PHP 數據庫 ODBC
- PHP XML
- PHP XML Expat 解析器
- PHP XML DOM
- PHP SimpleXML
- PHP AJAX
- AJAX 簡介
- AJAX XMLHttpRequest
- PHP 和 AJAX 請求
- PHP 和 AJAX XML 實例
- PHP 和 AJAX MySQL 數據庫實例
- PHP 和 AJAX responseXML 實例
- PHP 和 AJAX Live Search
- PHP 和 AJAX RSS 閱讀器
- PHP 和 AJAX 投票
- 免責聲明