php -- PDO预处理

  

可以使用多种方式实现预处理:指的是在绑定数据进行执行的时候,可以有多种方式。

预处理语句中为变量

使用数组指定预处理变量

  1、准备预处理语句(发送给服务器,让服务器准备预处理语句)

  PDOStatement PDO::prepare:类似exec将一条SQL语句发送给Mysql服务器  

    //PDO::prepare 能够自动的准备一个预处理语句,用户需要准备的只是预处理所要执行的语句
    //需求:往学生表里循环插入10条记录
    //PDO的预处理能够自动的将对应的以:开始的变量给记录下来,实际发送给服务器的是“?”
    $sql1 = "insert into pro_student values(null,:s_name,:s_num,:s_gender,:s_age,:c_id)";

  2、发送预处理语句

    $stmt = $pdo->prepare($sql1);

  3、给预处理绑定数据

    $arr = array(
      ‘:s_name‘ => ‘房祖名‘,
      ‘:s_num‘ => ‘itcast0013‘,
      ‘:s_gender‘ => 0,
      ‘:s_age‘ => 28,
      ‘:c_id‘ => 2
    );

  4、执行预处理:将要操作的数据发送给预处理语句,再执行预处理语句

    PDOStatement::execute([$array]):数组用来传递对应的参数

    $stmt->execute($arr); //执行预处理

  

通过绑定变量

  bindParam

    bool PDOStatement::bindParam ( mixed $parameter , mixed &$variable [, int $data_type = PDO::PARAM_STR [, int $length [, mixed $driver_options ]]] )

    在执行预处理之前,将之前预处理语句所指定的变量进行赋值

    只能通过变量的形式进行赋值(引用传值)

  

  bindValue

    bool PDOStatement::bindValue ( mixed $parameter , mixed $value [, int $data_type = PDO::PARAM_STR ] )

    执行与bindParam一样

    在执行预处理之前,将之前预处理语句所指定的变量进行赋值,或者直接将值作为参数进行绑定  

      $stmt->bindValue(‘:s_name‘,‘张三‘);
      $stmt->bindValue(‘:s_num‘,‘itcast0015‘);
      $stmt->bindValue(‘:s_gender‘,0);
      $stmt->bindValue(‘:s_age‘,30);
      $stmt->bindValue(‘:c_id‘,3);

  bindParam与bindValue的区别

    1、bindParam必须要先声明变量,再使用变量;bindValue可以直接使用值

    2、bindValue是一次性的(因为是值传递,若变量值改变了,则需要重新绑定bindValue),而bindParam可以无限使用(因为使用的引用传值,一旦变量的值进行改变,那么对应的组织SQL语句时所用到的变量的值也跟着改变)

预处理语句中为?

使用数组指定预处理变量

  

通过绑定变量

  此时,bindParam和bindValue绑定的时候,第一个参数都为数字,数字对应第几个“?”

  

  

  

时间: 2024-10-01 06:12:59

php -- PDO预处理的相关文章

PDO预处理语句PDOStatement对象使用总结

PDO预处理语句PDOStatement对象使用总结 PDO对预处理语句的支持需要使用PDOStatement类对象,但该类对象并不是通过NEW关键字实例化出来的,而是通过PDO对象中的prepare()方法,在数据库服务器中准备好一个预处理的SQL语句后直接返回的.如果通过之前执行PDO对象中的query()方法返回的PDOStatement类对象,只代表的是一个结果集对象.而如果通过执行PDO对象中的prepare()方法产生的PDOStatement类对象,则为一个查询对象,能定义和执行参

MySQL pdo预处理能防止sql注入的原因

MySQL pdo预处理能防止sql注入的原因: 1.先看预处理的语法 $pdo->prepare('select * from biao1 where id=:id'); $pdo->execute([':id'=>4]); 2.语句一,服务器发送一条sql给mysql服务器,mysql服务器会解析这条sql. 语句二,服务器发送一条sql给mysql服务器,mysql服务器不会解析这条sql,只会把execute的参数当做纯参数赋值给语句一.哪怕参数中有sql命令也不会被执行,从而实

前端学PHP之PDO预处理语句

× 目录 [1]定义 [2]准备语句 [3]绑定参数[4]执行查询[5]获取数据[6]大数据对象 前面的话 本来要把预处理语句和前面的基础操作写成一篇的.但是,由于博客园的限制,可能是因为长度超出,保存时总是报错,于是再开一篇.另一方面,相较于前面的exec()和query()语句来说,预处理语句更加常用 定义 在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了一种名为预处理语句(prepared s

pdo预处理语句

PDO对预处理语句的支持需要使用PDOStatement类对象,但该类对象并不是通过NEW关键字实例化出来的,而是通过PDO对象中的prepare()方法,在数据库服务器中准备好一个预处理的SQL语句后直接返回的.如果通过之前执行PDO对象中的query()方法返回的PDOStatement类对象,只代表的是一个结果集对象.而如果通过执行PDO对象中的prepare()方法产生的PDOStatement类对象,则为一个查询对象,能定义和执行参数化的SQL命令.PDOStatement类中的全部成

php pdo预处理语句与存储过程

很多更成熟的数据库都支持预处理语句的概念.什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制.预处理语句可以带来两大好处: 1.查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次.当查询准备好后,数据库将分析.编译和优化执行该查询的计划.对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度.通过使用预处理语句,可以避免重复分析/编译/优化周期.简言之,预处理语句占用更少的资源,

PHP PDO 预处理语句与存储过程

很多更成熟的数据库都支持预处理语句的概念. 什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制.预处理语句可以带来两大好处: 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次.当查询准备好后,数据库将分析.编译和优化执行该查询的计划.对于复杂的查询,此过程 要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度.通过使用预处理语句,可以避免重复分析/编译/优化周 期.简言之,预处理语句占用更少的资源

PDO预处理语句规避SQL注入攻击

所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击. 第一种方法 <?php $dsn = "mysql:dbname=study;host=localhost"; $pdo = new PDO($dsn,"root","root"); /

PDO预处理

<?php// prepare();// bindValue();// bindParam();// bindColumn();// execute();// rowCount(); try{ $pdo = new PDO("mysql:host=localhost;dbname=test;","root","");}catch(PDOException $e){ die("database connect fail".

JSONP实现登录(pdo预处理)

<!DOCTYPE html> <html> <head> <title>登录</title> <meta charset="utf-8"> </head> <body> <input type="text" name="username" class='username' placeholder="请输入账号"> &l