略微加速

PHP官方手册 - 互联网笔记

PHP - Manual: 预处理语句与存储过程

2024-05-03

预处理语句与存储过程

很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。预处理语句可以带来两大好处:

  • 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。
  • 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会发生SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。

预处理语句如此有用,以至于它们唯一的特性是在驱动程序不支持的时PDO 将模拟处理。这样可以确保不管数据库是否具有这样的功能,都可以确保应用程序可以用相同的数据访问模式。

示例 #1 用预处理语句进行重复插入

下面例子通过用 namevalue 替代相应的命名占位符来执行一个插入查询

<?php
$stmt $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name'$name);
$stmt->bindParam(':value'$value);

// 插入一行
$name 'one';
$value 1;
$stmt->execute();

//  用不同的值插入另一行
$name 'two';
$value 2;
$stmt->execute();
?>

示例 #2 用预处理语句进行重复插入

下面例子通过用 namevalue 取代 ? 占位符的位置来执行一条插入查询。

<?php
$stmt $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1$name);
$stmt->bindParam(2$value);

// 插入一行
$name 'one';
$value 1;
$stmt->execute();

// 用不同的值插入另一行
$name 'two';
$value 2;
$stmt->execute();
?>

示例 #3 使用预处理语句获取数据

下面例子获取数据基于键值已提供的形式。用户的输入被自动用引号括起来,因此不会有 SQL 注入攻击的危险。

<?php
$stmt $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
$stmt->execute([$_GET['name']]);
foreach ($stmt as $row) {
  print_r($row);
}
?>

示例 #4 Calling a stored procedure with an output parameter

如果数据库驱动支持,应用程序还可以绑定输出和输入参数。 输出参数通常用于从存储过程获取值。 输出参数使用起来比输入参数要稍微复杂一些,因为当绑定一个输出参数时,必须知道给定参数的长度。 如果为参数绑定的值大于建议的长度,就会产生一个错误。

<?php
$stmt $dbh->prepare("CALL sp_returns_string(?)");
$stmt->bindParam(1$return_valuePDO::PARAM_STR4000); 

// 调用存储过程
$stmt->execute();

print "procedure returned $return_value\n";
?>

示例 #5 带输入/输出参数调用存储过程

还可以指定同时具有输入和输出值的参数,其语法类似于输出参数。 在下一个例子中,字符串“hello”被传递给存储过程, 当存储过程返回时,hello 被替换为该存储过程返回的值。

<?php
$stmt $dbh->prepare("CALL sp_takes_string_returns_string(?)");
$value 'hello';
$stmt->bindParam(1$valuePDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT4000); 

// 调用存储过程
$stmt->execute();

print "procedure returned $value\n";
?>

示例 #6 占位符的无效使用

<?php
$stmt $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
$stmt->execute([$_GET['name']]);

// 占位符必须被用在整个值的位置
$stmt $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->execute(["%$_GET[name]%"]);
?>
add a noteadd a note

User Contributed Notes 4 notes

up
207
adam at pyramidpower dot com dot au
12 years ago
Note that when using name parameters with bindParam, the name itself, cannot contain a dash '-'.

example:
<?php
$stmt = $dbh->prepare ("INSERT INTO user (firstname, surname) VALUES (:f-name, :s-name)");
$stmt -> bindParam(':f-name', 'John');
$stmt -> bindParam(':s-name', 'Smith');
$stmt -> execute();
?>

The dashes in 'f-name' and 's-name' should be replaced with an underscore or no dash at all.

See http://bugs.php.net/43130

Adam
up
3
w37090 at yandex dot ru
2 years ago
Insert a multidimensional array into the database through a prepared query:
We have an array to write the form:

$dataArr:
Array
(
    [0] => Array
        (
            [0] => 2020
            [1] => 23
            [2] => 111111
        )

    [1] => Array
        (
            [0] => 2020
            [1] => 24
            [2] => 222222222
        )
....

Task: prepare a request and pass through binds
$array = [];
foreach ($dataArr as $k=>$v) {
// $x = 2020, the variable is predetermined in advance, does not change the essence
$array[] = [$x, $k, $v];
}
$sql = ("INSERT INTO `table` (`field`,`field`,`field`) VALUES (?,?,?)");

$db->queryBindInsert($sql,$array);

public function queryBindInsert($sql,$bind) {
        $stmt = $this->pdo->prepare($sql);

        if(count($bind)) {
            foreach($bind as $param => $value) {
                $c = 1;
                for ($i=0; $i<count($value); $i++) {
                    $stmt->bindValue($c++, $value[$i]);
                }
                $stmt->execute();
            }
        }
    }
up
-8
bkilinc at deyta dot net
1 year ago
it is a good practice not using double quotes in sql strings. This way you can ensure that no variable is injected in query.
a simple query with parameters should be;
'INSERT INTO REGISTRY (name, value) VALUES (?, ?)'
not
"INSERT INTO REGISTRY (name, value) VALUES (?, ?)"
up
-27
felixwood84 at ymail dot com
1 year ago
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (name=:name, value=:value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);

// insert one row
$name = 'one';
$value = 1;
$stmt->execute();

// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>
add a noteadd a note

官方地址:https://www.php.net/manual/en/pdo.prepared-statements.php

有任何技术问题请点击这里 网站运营推广招聘
IT PHP 编程语言 Linux 科技 开发编程 Elasticsearch HTML/CSS/XML 网络 JAVA NoSQL C/C++ 面试 数据库 Golang Git 算法 正则表达式 操作系统 Redis 互联网 MySql JavaScript 运维 软件 架构设计 Mac OS 国际 TCP/IP Excel Vim Windows Socket Oracle VR MongoDB 运营 Python MemCache 商业 硬件 电子 设计 nginx 娱乐 摄影 游戏 WordPress HTTP 团建 数码电器
冷却塔厂家 广告
中文GPT4.0无需注册 广告
搬瓦工VPS 广告
php7 安装fileinfo扩展 preg_split — 通过一个正则表达式分隔字符串 [PHP] inet_pton/inet_ntop IP地址转换函数 php位值,解决 PHP 中 usort 在值相同时改变原始位置的问题 PHPMailer设置utf8 PHPMailer字符集CharSet 如何在Composer中为GitLab实例设置访问令牌 array_multisort() 多字段排序 laravel框架查看sql语句方式 [原创]诡异的php-fpm超时问题 利用php soap实现web service PHP获取指定函数定义在哪个文件中及行号 php设置cookie为httponly防止xss攻击 PHP5 扩展SOAP 调用 webservice PHP-FPM进程数的设定 PHP7添加redis扩展 PHPstorm 里面Terminal 不能使用 esc键吗退出编辑模式吗 PHP - mysql_real_escape_string()与mysql_escape_string() 的区别 利用PHP SOAP实现WEB SERVICE PHP7 mcrypt替代方案 纯php实现DES以及TripleDES加密算法
联系我们 半月雨文化 可降解耗材网 蓝云环保 生活百科 台州治疗白癜风医院 工程造价 78免费小説 上海网站seo优化 DDnovel 96小説 seo查询
北京半月雨文化科技有限公司.版权所有 京ICP备12026184号-3