目錄

• 什么是預(yù)處理語(yǔ)句？
• PDO 操作預(yù)處理語(yǔ)句
• mysqli 操作預(yù)處理語(yǔ)句
• 總結(jié)

什么是預(yù)處理語(yǔ)句？

預(yù)處理語(yǔ)句，可以把它看作是想要運(yùn)行的 SQL 語(yǔ)句的一種編譯過(guò)的模板，它可以使用變量參數(shù)進(jìn)行控制。預(yù)處理語(yǔ)句可以帶來(lái)兩大好處：

• 查詢僅需解析（或預(yù)處理）一次，但可以用相同或不同的參數(shù)執(zhí)行多次。當(dāng)查詢準(zhǔn)備好后，數(shù)據(jù)庫(kù)將分析、編譯和優(yōu)化執(zhí)行該查詢的計(jì)劃。對(duì)于復(fù)雜的查詢，此過(guò)程要花費(fèi)較長(zhǎng)的時(shí)間，如果需要以不同參數(shù)多次重復(fù)相同的查詢，那么該過(guò)程將大大降低應(yīng)用程序的速度。通過(guò)使用預(yù)處理語(yǔ)句，可以避免重復(fù)分析/編譯/優(yōu)化周期。簡(jiǎn)言之，預(yù)處理語(yǔ)句占用更少的資源，因而運(yùn)行得更快。
• 提供給預(yù)處理語(yǔ)句的參數(shù)不需要用引號(hào)括起來(lái)，驅(qū)動(dòng)程序會(huì)自動(dòng)處理。如果應(yīng)用程序只使用預(yù)處理語(yǔ)句，可以確保不會(huì)發(fā)生SQL 注入。（然而，如果查詢的其他部分是由未轉(zhuǎn)義的輸入來(lái)構(gòu)建的，則仍存在 SQL 注入的風(fēng)險(xiǎn)）。

上述內(nèi)容是摘自官方文檔的說(shuō)明，但其實(shí)預(yù)處理語(yǔ)句帶給我們最直觀的好處就是能夠有效地預(yù)防 SQL 注入。關(guān)于 SQL 注入的內(nèi)容我們將來(lái)在學(xué)習(xí) MySQL 的時(shí)候再進(jìn)行深入的學(xué)習(xí)，這里就不過(guò)多地介紹了，反正預(yù)處理語(yǔ)句就是可以完成這項(xiàng)工作就好了。

PDO 操作預(yù)處理語(yǔ)句

在 PHP 的擴(kuò)展中，PDO 已經(jīng)是主流的核心數(shù)據(jù)庫(kù)擴(kuò)展庫(kù)，自然它對(duì)預(yù)處理語(yǔ)句的支持也是非常全面的。

$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', '');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// :xxx 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->bindParam(':salt', $salt);

$username = 'one';
$password = '123123';
$salt = 'aaa';
$stmt->execute();

$username = 'two';
$password = '123123';
$salt = 'bbb';
$stmt->execute();

在代碼中，我們使用 prepare() 方法定義預(yù)處理語(yǔ)句，這個(gè)方法會(huì)返回一個(gè) PDOStatement 對(duì)象。在預(yù)處理的語(yǔ)句內(nèi)使用 :xxx 這樣的占位符號(hào)，并在外部使用 PDOStatement 對(duì)象的 bindParam() 方法為這些占位符綁定上變量。最后通過(guò) execute() 來(lái)真正地執(zhí)行 SQL 語(yǔ)句。

從這段代碼中，我們就可以看到預(yù)處理語(yǔ)句的兩大優(yōu)勢(shì)的體現(xiàn)。首先是占位符，使用占位符之后，我們就不用在 SQL 語(yǔ)句中去寫(xiě)單引號(hào)，單引號(hào)往往就是 SQL 注入的主要漏洞來(lái)源。bindParam() 方法會(huì)自動(dòng)地轉(zhuǎn)換綁定數(shù)據(jù)的類型。當(dāng)然，bindParam() 方法也可以在可選的參數(shù)中指定綁定的數(shù)據(jù)類型，這樣就能讓我們的代碼更加安全了，大家可以查閱相關(guān)的文檔。

另一個(gè)優(yōu)勢(shì)就是模板的能力，我們只定義了一個(gè) PDOStatement 對(duì)象，然后通過(guò)改變數(shù)據(jù)的內(nèi)容，就可以多次地使用 execute() 方法去執(zhí)行預(yù)處理語(yǔ)句。

占位符還有另一種寫(xiě)法，就是使用一個(gè)問(wèn)號(hào)來(lái)作為占位符號(hào)，在這種情況下，bindParam() 方法的鍵名就要使用數(shù)字下標(biāo)了。這里需要注意的是，數(shù)字下標(biāo)是從 1 開(kāi)始的。

// ? 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)");
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);

$username = 'three';
$password = '123123';
$salt = 'ccc';
$stmt->execute();

在我們的查詢中，也是可以方便地使用預(yù)處理語(yǔ)句的功能進(jìn)行數(shù)據(jù)查詢的。在這里，我們直接使用 execute() 來(lái)為占位符傳遞參數(shù)。

// 查詢獲取數(shù)據(jù)
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

$stmt->execute(['username'=>'one']);

while($row = $stmt->fetch()){
    print_r($row);
}

mysqli 操作預(yù)處理語(yǔ)句

雖說(shuō)主流是 PDO ，而且大部分框架中使用的也是 PDO ，但我們?cè)趯?xiě)腳本，或者需要快速地測(cè)試一些功能的時(shí)候，還是會(huì)使用 mysqli 來(lái)快速地開(kāi)發(fā)。當(dāng)然，mysqli 也是支持預(yù)處理語(yǔ)句相關(guān)功能的。

// mysqli 預(yù)處理
$conn = new mysqli('127.0.0.1', 'root', '', 'blog_test');
$username = 'one';
$stmt = $conn->prepare("select username from zyblog_test_user where username = ?");
$stmt->bind_param("s", $username);

$stmt->execute();

echo $stmt->bind_result($unames);

var_dump($unames);

while ($stmt->fetch()) {
    printf("%sn", $unames);
}

可以看出，mysqli 除了方法名不同之外，綁定參數(shù)的鍵名也不完全的相同，這里我們使用的是問(wèn)號(hào)占位，在 bind_param() 方法中，是使用 s 來(lái)表示符號(hào)位置，如果是多個(gè)參數(shù)，就要寫(xiě)成 sss... 這樣。

總結(jié)

預(yù)處理語(yǔ)句的能力在現(xiàn)在的框架中都已經(jīng)幫我們封裝好了，其實(shí)我們并不需要太關(guān)心，就像 Laravel 中使用 DB::select() 進(jìn)行數(shù)據(jù)庫(kù)操作時(shí)，我們就可以看到預(yù)處理語(yǔ)句的應(yīng)用。
大家可以自行查閱 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法。

測(cè)試代碼

以上就是php 使用預(yù)處理語(yǔ)句操作數(shù)據(jù)庫(kù)的詳細(xì)內(nèi)容，更多關(guān)于php 預(yù)處理語(yǔ)句操作數(shù)據(jù)庫(kù)的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！