PHP PDO 預(yù)處理語句與存儲過程
很多更成熟的數(shù)據(jù)庫都支持預(yù)處理語句的概念�����。
什么是預(yù)處理語句����?可以把它看作是想要運行的 SQL 的一種編譯過的模板,它可以使用變量參數(shù)進行定制�����。預(yù)處理語句可以帶來兩大好處:
- 查詢僅需解析(或預(yù)處理)一次�,但可以用相同或不同的參數(shù)執(zhí)行多次。當查詢準備好后���,數(shù)據(jù)庫將分析�����、編譯和優(yōu)化執(zhí)行該查詢的計劃�����。對于復(fù)雜的查詢��,此過程要花費較長的時間����,如果需要以不同參數(shù)多次重復(fù)相同的查詢���,那么該過程將大大降低應(yīng)用程序的速度�����。通過使用預(yù)處理語句���,可以避免重復(fù)分析/編譯/優(yōu)化周期。簡言之��,預(yù)處理語句占用更少的資源�����,因而運行得更快����。
- 提供給預(yù)處理語句的參數(shù)不需要用引號括起來,驅(qū)動程序會自動處理���。如果應(yīng)用程序只使用預(yù)處理語句���,可以確保不會發(fā)生SQL 注入。(然而�,如果查詢的其他部分是由未轉(zhuǎn)義的輸入來構(gòu)建的,則仍存在 SQL 注入的風險)���。
預(yù)處理語句如此有用���,以至于它們唯一的特性是在驅(qū)動程序不支持的時PDO 將模擬處理�����。這樣可以確保不管數(shù)據(jù)庫是否具有這樣的功能�����,都可以確保應(yīng)用程序可以用相同的數(shù)據(jù)訪問模式����。
用預(yù)處理語句進行重復(fù)插入
下面例子通過用 name 和 value 替代相應(yīng)的命名占位符來執(zhí)行一個插入查詢
?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();
// 用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
?>
用預(yù)處理語句進行重復(fù)插入
下面例子通過用 name 和 value 取代 ? 占位符的位置來執(zhí)行一條插入查詢����。
?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);
// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();
// 用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
?>
使用預(yù)處理語句獲取數(shù)據(jù)
下面例子獲取數(shù)據(jù)基于鍵值已提供的形式。用戶的輸入被自動用引號括起來�����,因此不會有 SQL 注入攻擊的危險����。
?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
if ($stmt->execute(array($_GET['name']))) {
while ($row = $stmt->fetch()) {
print_r($row);
}
}
?>
如果數(shù)據(jù)庫驅(qū)動支持���,應(yīng)用程序還可以綁定輸出和輸入?yún)?shù).輸出參數(shù)通常用于從存儲過程獲取值。輸出參數(shù)使用起來比輸入?yún)?shù)要稍微復(fù)雜一些���,因為當綁定一個輸出參數(shù)時,必須知道給定參數(shù)的長度�����。如果為參數(shù)綁定的值大于建議的長度��,就會產(chǎn)生一個錯誤����。
帶輸出參數(shù)調(diào)用存儲過程
?php
$stmt = $dbh->prepare("CALL sp_returns_string(?)");
$stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000);
// 調(diào)用存儲過程
$stmt->execute();
print "procedure returned $return_value\n";
?>
還可以指定同時具有輸入和輸出值的參數(shù),其語法類似于輸出參數(shù)�����。在下一個例子中�,字符串"hello"被傳遞給存儲過程,當存儲過程返回時�����,hello 被替換為該存儲過程返回的值。
帶輸入/輸出參數(shù)調(diào)用存儲過程
?php
$stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");
$value = 'hello';
$stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000);
// 調(diào)用存儲過程
$stmt->execute();
print "procedure returned $value\n";
?>
占位符的無效使用
?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
$stmt->execute(array($_GET['name']));
// 占位符必須被用在整個值的位置
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->execute(array("%$_GET[name]%"));
?>
總結(jié)
以上就是這篇文章的全部內(nèi)容了�����,希望本文的內(nèi)容對大家的學習或者工作具有一定的參考學習價值��,謝謝大家對腳本之家的支持�。如果你想了解更多相關(guān)內(nèi)容請查看下面相關(guān)鏈接
您可能感興趣的文章:- PHP PDO預(yù)處理語句及事務(wù)的使用
- php_pdo 預(yù)處理語句詳解
- PHP封裝類似thinkphp連貫操作數(shù)據(jù)庫Db類與簡單應(yīng)用示例
- PHP5中使用mysqli的prepare操作數(shù)據(jù)庫的介紹
- php pdo操作數(shù)據(jù)庫示例
- PHP入門教程之使用Mysqli操作數(shù)據(jù)庫的方法(連接,查詢,事務(wù)回滾等)
- PHP使用PDO操作數(shù)據(jù)庫的亂碼問題解決方法
- PHP中使用匿名函數(shù)操作數(shù)據(jù)庫的例子
- PHP中的MYSQL常用函數(shù)(php下操作數(shù)據(jù)庫必備)
- php 使用預(yù)處理語句操作數(shù)據(jù)庫
