黄色电影一区二区,韩国少妇自慰A片免费看,精品人妻少妇一级毛片免费蜜桃AV按摩师 ,超碰 香蕉

PHP PDO 預(yù)處理語句與存儲過程

PHP PDO 預(yù)處理語句與存儲過程

PHP PDO 參考手冊PHP PDO 參考手冊

很多更成熟的數(shù)據(jù)庫都支持預(yù)處理語句的概念。

什么是預(yù)處理語句?可以把它看作是想要運(yùn)行的 SQL 的一種編譯過的模板,它可以使用變量參數(shù)進(jìn)行定制。預(yù)處理語句可以帶來兩大好處:

  • 查詢僅需解析(或預(yù)處理)一次,但可以用相同或不同的參數(shù)執(zhí)行多次。當(dāng)查詢準(zhǔn)備好后,數(shù)據(jù)庫將分析、編譯和優(yōu)化執(zhí)行該查詢的計(jì)劃。對于復(fù)雜的查詢,此過程要花費(fèi)較長的時間,如果需要以不同參數(shù)多次重復(fù)相同的查詢,那么該過程將大大降低應(yīng)用程序的速度。通過使用預(yù)處理語句,可以避免重復(fù)分析/編譯/優(yōu)化周期。簡言之,預(yù)處理語句占用更少的資源,因而運(yùn)行得更快。
  • 提供給預(yù)處理語句的參數(shù)不需要用引號括起來,驅(qū)動程序會自動處理。如果應(yīng)用程序只使用預(yù)處理語句,可以確保不會發(fā)生SQL 注入。(然而,如果查詢的其他部分是由未轉(zhuǎn)義的輸入來構(gòu)建的,則仍存在 SQL 注入的風(fēng)險)。

預(yù)處理語句如此有用,以至于它們唯一的特性是在驅(qū)動程序不支持的時PDO 將模擬處理。這樣可以確保不管數(shù)據(jù)庫是否具有這樣的功能,都可以確保應(yīng)用程序可以用相同的數(shù)據(jù)訪問模式。

用預(yù)處理語句進(jìn)行重復(fù)插入

下面例子通過用 name 和 value 替代相應(yīng)的命名占位符來執(zhí)行一個插入查詢

<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)"); $stmt->bindParam(':name', $name); $stmt->bindParam(':value', $value); // 插入一行 $name = 'one'; $value = 1; $stmt->execute(); //  用不同的值插入另一行 $name = 'two'; $value = 2; $stmt->execute(); ?><button class="copy-code-button" type="button" data-clipboard-text="<?php $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)"); $stmt->bindParam(':name', $name); $stmt->bindParam(':value', $value); // 插入一行 $name = 'one'; $value = 1; $stmt->execute(); // 用不同的值插入另一行 $name = 'two'; $value = 2; $stmt->execute(); ?> "></button>

用預(yù)處理語句進(jìn)行重復(fù)插入

下面例子通過用 name 和 value 取代 ? 占位符的位置來執(zhí)行一條插入查詢。

<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)"); $stmt->bindParam(1, $name); $stmt->bindParam(2, $value); // 插入一行 $name = 'one'; $value = 1; $stmt->execute(); // 用不同的值插入另一行 $name = 'two'; $value = 2; $stmt->execute(); ?><button class="copy-code-button" type="button" data-clipboard-text="<?php $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)"); $stmt->bindParam(1, $name); $stmt->bindParam(2, $value); // 插入一行 $name = 'one'; $value = 1; $stmt->execute(); // 用不同的值插入另一行 $name = 'two'; $value = 2; $stmt->execute(); ?> "></button>

使用預(yù)處理語句獲取數(shù)據(jù)

下面例子獲取數(shù)據(jù)基于鍵值已提供的形式。用戶的輸入被自動用引號括起來,因此不會有 SQL 注入攻擊的危險。

<?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?"); if ($stmt->execute(array($_GET['name']))) {   while ($row = $stmt->fetch()) {     print_r($row);   } } ?><button class="copy-code-button" type="button" data-clipboard-text="<?php $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?"); if ($stmt->execute(array($_GET['name']))) { while ($row = $stmt->fetch()) { print_r($row); } } ?> "></button>

如果數(shù)據(jù)庫驅(qū)動支持,應(yīng)用程序還可以綁定輸出和輸入?yún)?shù).輸出參數(shù)通常用于從存儲過程獲取值。輸出參數(shù)使用起來比輸入?yún)?shù)要稍微復(fù)雜一些,因?yàn)楫?dāng)綁定一個輸出參數(shù)時,必須知道給定參數(shù)的長度。如果為參數(shù)綁定的值大于建議的長度,就會產(chǎn)生一個錯誤。

帶輸出參數(shù)調(diào)用存儲過程

<?php
$stmt = $dbh->prepare("CALL sp_returns_string(?)"); $stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); // 調(diào)用存儲過程 $stmt->execute(); print "procedure returned $return_value\n"; ?><button class="copy-code-button" type="button" data-clipboard-text="<?php $stmt = $dbh->prepare("CALL sp_returns_string(?)"); $stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); // 調(diào)用存儲過程 $stmt->execute(); print "procedure returned $return_value\n"; ?> "></button>

還可以指定同時具有輸入和輸出值的參數(shù),其語法類似于輸出參數(shù)。在下一個例子中,字符串"hello"被傳遞給存儲過程,當(dāng)存儲過程返回時,hello 被替換為該存儲過程返回的值。

帶輸入/輸出參數(shù)調(diào)用存儲過程

<?php
$stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)"); $value = 'hello'; $stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000); // 調(diào)用存儲過程 $stmt->execute(); print "procedure returned $value\n"; ?><button class="copy-code-button" type="button" data-clipboard-text="<?php $stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)"); $value = 'hello'; $stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000); // 調(diào)用存儲過程 $stmt->execute(); print "procedure returned $value\n"; ?> "></button>

占位符的無效使用

<?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'"); $stmt->execute(array($_GET['name'])); // 占位符必須被用在整個值的位置 $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?"); $stmt->execute(array("%$_GET[name]%")); ?><button class="copy-code-button" type="button" data-clipboard-text="<?php $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'"); $stmt->execute(array($_GET['name'])); // 占位符必須被用在整個值的位置 $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?"); $stmt->execute(array("%$_GET[name]%")); ?> "></button>

PHP PDO 參考手冊PHP PDO 參考手冊

相關(guān)文章