PHP PDO 預處理語句與存儲過程
很多更成熟的數據庫都支持預處理語句的概念�����。
什么是預處理語句?可以把它看作是想要運行的 SQL 的一種編譯過的模板�����,它可以使用變量參數進行定制。預處理語句可以帶來兩大好處:
- 查詢僅需解析(或預處理)一次���,但可以用相同或不同的參數執行多次�。當查詢準備好后���,數據庫將分析�、編譯和優化執行該查詢的計劃�����。對于復雜的查詢���,此過程要花費較長的時間,如果需要以不同參數多次重復相同的查詢�����,那么該過程將大大降低應用程序的速度�����。通過使用預處理語句,可以避免重復分析/編譯/優化周期�����。簡言之���,預處理語句占用更少的資源�����,因而運行得更快���。
- 提供給預處理語句的參數不需要用引號括起來�����,驅動程序會自動處理�。如果應用程序只使用預處理語句���,可以確保不會發生SQL 注入�����。(然而���,如果查詢的其他部分是由未轉義的輸入來構建的���,則仍存在 SQL 注入的風險)。
預處理語句如此有用���,以至于它們唯一的特性是在驅動程序不支持的時PDO 將模擬處理�。這樣可以確保不管數據庫是否具有這樣的功能�,都可以確保應用程序可以用相同的數據訪問模式。
用預處理語句進行重復插入
下面例子通過用 name 和 value 替代相應的命名占位符來執行一個插入查詢
<?php$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");$stmt->bindParam(':name', $name);$stmt->bindParam(':value', $value);// 插入一行$name = 'one';$value = 1;$stmt->execute();// 用不同的值插入另一行$name = 'two';$value = 2;$stmt->execute();?> 用預處理語句進行重復插入
下面例子通過用 name 和 value 取代 ? 占位符的位置來執行一條插入查詢���。
<?php$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");$stmt->bindParam(1, $name);$stmt->bindParam(2, $value);// 插入一行$name = 'one';$value = 1;$stmt->execute();// 用不同的值插入另一行$name = 'two';$value = 2;$stmt->execute();?> 使用預處理語句獲取數據
下面例子獲取數據基于鍵值已提供的形式�。用戶的輸入被自動用引號括起來�,因此不會有 SQL 注入攻擊的危險。
<?php$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");if ($stmt->execute(array($_GET['name']))) { while ($row = $stmt->fetch()) { print_r($row); }}?> 如果數據庫驅動支持�����,應用程序還可以綁定輸出和輸入參數.輸出參數通常用于從存儲過程獲取值�����。輸出參數使用起來比輸入參數要稍微復雜一些�����,因為當綁定一個輸出參數時�,必須知道給定參數的長度。如果為參數綁定的值大于建議的長度���,就會產生一個錯誤�。
帶輸出參數調用存儲過程
<?php$stmt = $dbh->prepare("CALL sp_returns_string(?)");$stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000);// 調用存儲過程$stmt->execute();print "procedure returned $return_value/n";?> 還可以指定同時具有輸入和輸出值的參數�����,其語法類似于輸出參數���。在下一個例子中�����,字符串"hello"被傳遞給存儲過程���,當存儲過程返回時,hello 被替換為該存儲過程返回的值�。
帶輸入/輸出參數調用存儲過程
<?php$stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");$value = 'hello';$stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000);// 調用存儲過程$stmt->execute();print "procedure returned $value/n";?> 占位符的無效使用
<?php$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");$stmt->execute(array($_GET['name']));// 占位符必須被用在整個值的位置$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");$stmt->execute(array("%$_GET[name]%"));?> 總結
以上就是這篇文章的全部內容了�����,希望本文的內容對大家的學習或者工作具有一定的參考學習價值�����,謝謝大家對VeVb武林網的支持�。
注:相關教程知識閱讀請移步到PHP教程頻道�����。
