21xrx.com
2024-12-24 00:30:36 Tuesday
登录
文章检索 我的文章 写文章
PHP MySQL prepare statement
2021-07-24 10:27:54 深夜i     --     --
PHP MySQL准备好陈述

prepare statement预防SQL注入非常有用。


prepare statement和绑定参数

prepare statement是用于执行相同(或类似)SQL的函数 。

prepare statement基本上工作如下:

  1. Prepare:创建 SQL 语句模板并将其发送到数据库。 某些值未指定,称为参数(标记为“?”)。 示例:INSERT INTO MyGuests VALUES(?, ?, ?)
  2. 数据库对SQL语句模板进行解析、编译、查询优化,不执行存储
  3. 执行:稍后,应用程序将值绑定到参数,数据库执行语句。 应用程序可以根据需要使用不同的值多次执行语句

与直接执行SQL语句相比,prepare statement有三个主要优点:

  • prepare statement减少了解析时间,因为仅在查询的准备工作一次(尽管语句是多次执行的)
  • 绑定参数随着每次发送参数,而不是整个查询,最小化到服务器的带宽
  • prepare statement对SQL注入非常有用,因为是使用参数传递。 如果原始语句模板不是从外部输入导出,则无法发生SQL注入。

Mysqli的准备陈述

以下示例使用MySQLI中的已准备好语句和绑定参数:

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);

// Check connection
if ($conn->connect_error) {
  die("Connection failed: " . $conn->connect_error);
}

// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);

// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();

$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();

echo "New records created successfully";

$stmt->close();
$conn->close();
?>

 

从上面的示例解释的代码行:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"

在我们的SQL中,我们在其中插入一个问号(?)我们想要替换在整数,字符串,double或blob中的值。

然后,看看bind_param()函数:

$stmt->bind_param("sss", $firstname, $lastname, $email);

此函数将参数绑定到SQL查询并告诉 数据库参数是什么。 “sss”参数列出了 参数的数据类型。 s字符告诉MySQL该参数是一个字符串。

该参数可能是四种类型之一:

  • i- 整数
  • d - double.
  • s -字符串
  • b -BLOB

我们必须为每个参数提供其中一个。

通过讲述MySQL需要期望的数据类型,我们最大限度地减少了SQL注入的风险。

注意:如果我们想从外部源插入任何数据 (如用户输入),对数据进行过滤和验证非常重要。


 


PDO的 prepare statement

以下示例使用PDO中的已准备好语句和绑定参数:
 

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";

try {
  $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
  // set the PDO error mode to exception
  $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

  // prepare sql and bind parameters
  $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
  VALUES (:firstname, :lastname, :email)");
  $stmt->bindParam(':firstname', $firstname);
  $stmt->bindParam(':lastname', $lastname);
  $stmt->bindParam(':email', $email);

  // insert a row
  $firstname = "John";
  $lastname = "Doe";
  $email = "john@example.com";
  $stmt->execute();

  // insert another row
  $firstname = "Mary";
  $lastname = "Moe";
  $email = "mary@example.com";
  $stmt->execute();

  // insert another row
  $firstname = "Julie";
  $lastname = "Dooley";
  $email = "julie@example.com";
  $stmt->execute();

  echo "New records created successfully";
} catch(PDOException $e) {
  echo "Error: " . $e->getMessage();
}
$conn = null;
?>


 

  
  

评论区

{{item['qq_nickname']}}
()
回复
回复
    相似文章