pdo中使用参数化查询sql


Posted in PHP onAugust 11, 2011

方法 bindParam() 和 bindValue() 非常相似。
唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。
所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。

$stm = $pdo->prepare("select * from users where user = :user"); 
$user = "jack"; 
//正确 
$stm->bindParam(":user",$user); 
//错误 
//$stm->bindParam(":user","jack"); 
//正确 
$stm->bindValue(":user",$user); 
//正确 
$stm->bindValue(":user","jack");

另外在存储过程中,bindParam可以绑定为input/output变量,如下面:
$stm = $pdo->prepare("call func(:param1)"); 
$param1 = "abcd"; 
$stm->bindParam(":param1",$param1); //正确 
$stm->execute();

存储过程执行过后的结果可以直接反应到变量上。
对于那些内存中的大数据块参数,处于性能的考虑,应优先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
参数化查询
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便[来源请求],然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。
除了安全因素,相比起拼接字符串的 SQL 语句,参数化的查询往往有性能优势。因为参数化的查询能让不同的数据通过参数到达数据库,从而公用同一条 SQL 语句。大多数数据库会缓存解释 SQL 语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的 SQL 语句,则会由于操作数据是 SQL 语句的一部分而非参数的一部分,而反复大量解释 SQL 语句产生不必要的开销。
目录
* 1 原理
* 2 SQL 指令撰写方法
o 2.1 Microsoft SQL Server
o 2.2 Microsoft Access
o 2.3 MySQL
o 2.4 PostgreSQL/SQLite
* 3 客户端程序撰写方法
o 3.1 ADO.NET
o 3.2 PDO
o 3.3 JDBC
o 3.4 Cold Fusion
[编辑] 原理
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。
[编辑] SQL 指令撰写方法
在撰写 SQL 指令时,利用参数来代表需要填入的数值,例如:
[编辑] Microsoft SQL Server
Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成,SQL Server 亦支持匿名参数 "?"。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)
[编辑] Microsoft Access
Microsoft Access 不支持具名参数,只支持匿名参数 "?"。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[编辑] MySQL
MySQL 的参数格式是以 "?" 字符加上参数名称而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[编辑] PostgreSQL/SQLite
PostgreSQL 和 SQLite 的参数格式是以 “:” 加上参数名而成。当然,也支持类似 Access 的匿名参数。
UPDATE "myTable" SET "c1" = :c1, "c2" = :c2, "c3" = :c3 WHERE "c4" = :c4
[编辑] 客户端程序撰写方法
在客户端代码中撰写使用参数的代码,例如:
[编辑] ADO.NET
ADO.NET用于ASP.NET之内。
SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); // ?定?? @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); // ?定?? @c2 的值。
sqlcmd.Parameters.AddWithValue("@c3", 3); // ?定?? @c3 的值。
sqlcmd.Parameters.AddWithValue("@c4", 4); // ?定?? @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[编辑] PDO
PDO用于PHP之内。 在使用 PDO 驱动时,参数查询的使用方法一般为:
// 实例化数据抽象层对象 
$db = new PDO('pgsql:host=127.0.0.1;port=5432;dbname=testdb'); 
// 对 SQL 语句执行 prepare,得到 PDOStatement 对象 
$stmt = $db->prepare('SELECT * FROM "myTable" WHERE "id" = :id AND "is_valid" = :is_valid'); 
// 绑定参数 
$stmt->bindValue(':id', $id); 
$stmt->bindValue(':is_valid', true); 
// 查询 
$stmt->execute(); 
// 获取数据 
foreach($stmt as $row) { 
var_dump($row); 
} 
[code] 
对于 MySQL 的特定驱动,也可以这样使用: 
$db = new mysqli("localhost", "user", "pass", "database"); 
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?"); 
$stmt -> bind_param("ss", $user, $pass); 
$stmt -> execute(); 
值得注意的是,以下方式虽然能有效防止 SQL注入 (归功于 mysql_real_escape_string 函数的转义),但并不是真正的参数化查询。其本质仍然是拼接字符串的 SQL 语句。 
[code] 
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'", 
mysql_real_escape_string($Username), 
mysql_real_escape_string($Password)); 
mysql_query($query);

[编辑] JDBC
JDBC用于Java之内。
java.sql.PreparedStatement prep = connection.prepareStatement(
"SELECT * FROM `users` WHERE USERNAME = ? AND PASSWORD = ?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
[编辑] Cold Fusion
<cfquery name="Recordset1" datasource="cafetownsend">
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">
</cfquery>
PHP 相关文章推荐
十天学会php之第四天
Oct 09 PHP
模仿OSO的论坛(三)
Oct 09 PHP
php GD绘制24小时柱状图
Jun 28 PHP
PHP 抓取网页图片并且另存为的实现代码
Mar 24 PHP
发一个php简单的伪原创程序,配合商城采集用的
Oct 12 PHP
php之CodeIgniter学习笔记
Jun 17 PHP
php时区转换转换函数
Jan 07 PHP
PHP网页游戏学习之Xnova(ogame)源码解读(十六)
Jun 30 PHP
非常经典的PHP文件上传类分享
May 15 PHP
yii2 RBAC使用DbManager实现后台权限判断的方法
Jul 23 PHP
PHP精确到毫秒秒杀倒计时实例详解
Mar 14 PHP
laravel自定义分页的实现案例offset()和limit()
Oct 15 PHP
php 广告调用类代码(支持Flash调用)
Aug 11 #PHP
php 中英文语言转换类代码
Aug 11 #PHP
php中计算中文字符串长度、截取中文字符串的函数代码
Aug 09 #PHP
php数据结构 算法(PHP描述) 简单选择排序 simple selection sort
Aug 09 #PHP
php的urlencode()URL编码函数浅析
Aug 09 #PHP
php简单的会话类代码
Aug 08 #PHP
php中将时间差转换为字符串提示的实现代码
Aug 08 #PHP
You might like
CakePHP去除默认显示的标题及图标的方法
2008/10/22 PHP
php替换超长文本中的特殊字符的函数代码
2012/05/22 PHP
在WordPress中使用wp_count_posts函数来统计文章数量
2016/01/05 PHP
php文档工具PHP Documentor安装与使用方法
2016/01/25 PHP
PHP简单实现模拟登陆功能示例
2017/09/15 PHP
用js 让图片在 div或dl里 居中,底部对齐
2008/01/21 Javascript
javascript addBookmark 加入收藏 多浏览器兼容
2009/08/15 Javascript
提高javascript效率 一次判断,而不要次次判断
2012/03/30 Javascript
node.js中的path.sep方法使用说明
2014/12/08 Javascript
JavaScript中property和attribute的区别详细介绍
2015/03/03 Javascript
jQuery获取radio选中项的值实例
2016/06/18 Javascript
第三篇Bootstrap网格基础
2016/06/21 Javascript
js拖拽功能实现代码解析
2016/11/28 Javascript
浅析jsopn跨域请求原理及cors(跨域资源共享)的完美解决方法
2017/02/06 Javascript
整理关于Bootstrap模态弹出框的慕课笔记
2017/03/29 Javascript
JS中图片压缩的方法小结
2017/11/14 Javascript
安装vue-cli的简易过程
2018/05/22 Javascript
webpack css加载和图片加载的方法示例
2018/09/11 Javascript
JS原形与原型链深入详解
2020/05/09 Javascript
[03:03]DOTA2校园争霸赛 济南城市决赛欢乐发奖活动
2013/10/21 DOTA
python 输出一个两行字符的变量
2009/02/05 Python
Python嵌套列表转一维的方法(压平嵌套列表)
2018/07/03 Python
Python对Tornado请求与响应的数据处理
2020/02/12 Python
Win10用vscode打开anaconda环境中的python出错问题的解决
2020/05/25 Python
解决PyCharm无法使用lxml库的问题(图解)
2020/12/22 Python
css3实现背景图片拉伸效果像桌面壁纸一样
2013/08/19 HTML / CSS
简洁自适应404页面HTML好看的404源码
2020/12/16 HTML / CSS
Farfetch阿联酋:奢侈品牌时尚购物平台
2019/07/26 全球购物
精彩的推荐信范文
2013/11/26 职场文书
企业安全生产责任书范本
2014/07/28 职场文书
励志演讲稿800字
2014/08/21 职场文书
励志演讲稿600字
2014/08/21 职场文书
幼儿教师师德师风自我评价
2015/03/05 职场文书
小学生必读成语故事大全:送给暑假的你们
2019/07/09 职场文书
Python爬虫基础讲解之请求
2021/05/13 Python
vue实现拖拽交换位置
2022/04/07 Vue.js