今天這篇文章的內容其實也是非常基礎的內容,不過在現代化的開發中,大家都使用框架,已經很少人會去自己封裝或者經常寫底層的資料庫操作代碼了,所以這回我們就來復習一下資料庫中相關擴展中的預處理陳述句內容,
什么是預處理陳述句?
預處理陳述句,可以把它看作是想要運行的 SQL 陳述句的一種編譯過的模板,它可以使用變數引數進行控制,預處理陳述句可以帶來兩大好處:
-
查詢僅需決議(或預處理)一次,但可以用相同或不同的引數執行多次,當查詢準備好后,資料庫將分析、編譯和優化執行該查詢的計劃,對于復雜的查詢,此程序要花費較長的時間,如果需要以不同引數多次重復相同的查詢,那么該程序將大大降低應用程式的速度,通過使用預處理陳述句,可以避免重復分析/編譯/優化周期,簡言之,預處理陳述句占用更少的資源,因而運行得更快,
-
提供給預處理陳述句的引數不需要用引號括起來,驅動程式會自動處理,如果應用程式只使用預處理陳述句,可以確保不會發生SQL 注入,(然而,如果查詢的其他部分是由未轉義的輸入來構建的,則仍存在 SQL 注入的風險),
上述內容是摘自官方檔案的說明,但其實預處理陳述句帶給我們最直觀的好處就是能夠有效地預防 SQL 注入,關于 SQL 注入的內容我們將來在學習 MySQL 的時候再進行深入的學習,這里就不過多地介紹了,反正預處理陳述句就是可以完成這項作業就好了,
PDO 操作預處理陳述句
在 PHP 的擴展中,PDO 已經是主流的核心資料庫擴展庫,自然它對預處理陳述句的支持也是非常全面的,
$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', '');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// :xxx 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->bindParam(':salt', $salt);
$username = 'one';
$password = '123123';
$salt = 'aaa';
$stmt->execute();
$username = 'two';
$password = '123123';
$salt = 'bbb';
$stmt->execute();
在代碼中,我們使用 prepare() 方法定義預處理陳述句,這個方法會回傳一個 PDOStatement 物件,在預處理的陳述句內使用 :xxx 這樣的占位符號,并在外部使用 PDOStatement 物件的 bindParam() 方法為這些占位符系結上變數,最后通過 execute() 來真正地執行 SQL 陳述句,
從這段代碼中,我們就可以看到預處理陳述句的兩大優勢的體現,首先是占位符,使用占位符之后,我們就不用在 SQL 陳述句中去寫單引號,單引號往往就是 SQL 注入的主要漏洞來源,bindParam() 方法會自動地轉換系結資料的型別,當然,bindParam() 方法也可以在可選的引數中指定系結的資料型別,這樣就能讓我們的代碼更加安全了,大家可以查閱相關的檔案,
另一個優勢就是模板的能力,我們只定義了一個 PDOStatement 物件,然后通過改變資料的內容,就可以多次地使用 execute() 方法去執行預處理陳述句,
占位符還有另一種寫法,就是使用一個問號來作為占位符號,在這種情況下,bindParam() 方法的鍵名就要使用數字下標了,這里需要注意的是,數字下標是從 1 開始的,
// ? 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)");
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);
$username = 'three';
$password = '123123';
$salt = 'ccc';
$stmt->execute();
在我們的查詢中,也是可以方便地使用預處理陳述句的功能進行資料查詢的,在這里,我們直接使用 execute() 來為占位符傳遞引數,
// 查詢獲取資料
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");
$stmt->execute(['username'=>'one']);
while($row = $stmt->fetch()){
print_r($row);
}
mysqli 操作預處理陳述句
雖說主流是 PDO ,而且大部分框架中使用的也是 PDO ,但我們在寫腳本,或者需要快速地測驗一些功能的時候,還是會使用 mysqli 來快速地開發,當然,mysqli 也是支持預處理陳述句相關功能的,
// mysqli 預處理
$conn = new mysqli('127.0.0.1', 'root', '', 'blog_test');
$username = 'one';
$stmt = $conn->prepare("select username from zyblog_test_user where username = ?");
$stmt->bind_param("s", $username);
$stmt->execute();
echo $stmt->bind_result($unames);
var_dump($unames);
while ($stmt->fetch()) {
printf("%s\n", $unames);
}
可以看出,mysqli 除了方法名不同之外,系結引數的鍵名也不完全的相同,這里我們使用的是問號占位,在 bind_param() 方法中,是使用 s 來表示符號位置,如果是多個引數,就要寫成 sss... 這樣,
總結
預處理陳述句的能力在現在的框架中都已經幫我們封裝好了,其實我們并不需要太關心,就像 Laravel 中使用 DB::select() 進行資料庫操作時,我們就可以看到預處理陳述句的應用,
大家可以自行查閱 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法,
測驗代碼:
https://github.com/zhangyue0503/dev-blog/blob/master/php/202008/source/PHP%E4%B8%AD%E6%93%8D%E4%BD%9C%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E9%A2%84%E5%A4%84%E7%90%86%E8%AF%AD%E5%8F%A5.php
參考檔案:
https://www.php.net/manual/zh/pdo.prepared-statements.php
===============
關注公眾號:【硬核專案經理】獲取最新文章
添加微信/QQ好友:【xiaoyuezigonggong/149844827】免費得PHP、專案管理學習資料
知乎、公眾號、抖音、頭條搜索【硬核專案經理】
B站ID:482780532
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/287059.html
標籤:其他
下一篇:題解-P3810