pdo中使用参数化查询sql


Posted in PHP onAugust 11, 2011

方法 bindParam() 和 bindValue() 非常相似。
唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。
所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。

$stm = $pdo->prepare("select * from users where user = :user"); 
$user = "jack"; 
//正确 
$stm->bindParam(":user",$user); 
//错误 
//$stm->bindParam(":user","jack"); 
//正确 
$stm->bindValue(":user",$user); 
//正确 
$stm->bindValue(":user","jack");

另外在存储过程中,bindParam可以绑定为input/output变量,如下面:
$stm = $pdo->prepare("call func(:param1)"); 
$param1 = "abcd"; 
$stm->bindParam(":param1",$param1); //正确 
$stm->execute();

存储过程执行过后的结果可以直接反应到变量上。
对于那些内存中的大数据块参数,处于性能的考虑,应优先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
参数化查询
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便[来源请求],然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。
除了安全因素,相比起拼接字符串的 SQL 语句,参数化的查询往往有性能优势。因为参数化的查询能让不同的数据通过参数到达数据库,从而公用同一条 SQL 语句。大多数数据库会缓存解释 SQL 语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的 SQL 语句,则会由于操作数据是 SQL 语句的一部分而非参数的一部分,而反复大量解释 SQL 语句产生不必要的开销。
目录
* 1 原理
* 2 SQL 指令撰写方法
o 2.1 Microsoft SQL Server
o 2.2 Microsoft Access
o 2.3 MySQL
o 2.4 PostgreSQL/SQLite
* 3 客户端程序撰写方法
o 3.1 ADO.NET
o 3.2 PDO
o 3.3 JDBC
o 3.4 Cold Fusion
[编辑] 原理
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。
[编辑] SQL 指令撰写方法
在撰写 SQL 指令时,利用参数来代表需要填入的数值,例如:
[编辑] Microsoft SQL Server
Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成,SQL Server 亦支持匿名参数 "?"。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)
[编辑] Microsoft Access
Microsoft Access 不支持具名参数,只支持匿名参数 "?"。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[编辑] MySQL
MySQL 的参数格式是以 "?" 字符加上参数名称而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[编辑] PostgreSQL/SQLite
PostgreSQL 和 SQLite 的参数格式是以 “:” 加上参数名而成。当然,也支持类似 Access 的匿名参数。
UPDATE "myTable" SET "c1" = :c1, "c2" = :c2, "c3" = :c3 WHERE "c4" = :c4
[编辑] 客户端程序撰写方法
在客户端代码中撰写使用参数的代码,例如:
[编辑] ADO.NET
ADO.NET用于ASP.NET之内。
SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); // ?定?? @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); // ?定?? @c2 的值。
sqlcmd.Parameters.AddWithValue("@c3", 3); // ?定?? @c3 的值。
sqlcmd.Parameters.AddWithValue("@c4", 4); // ?定?? @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[编辑] PDO
PDO用于PHP之内。 在使用 PDO 驱动时,参数查询的使用方法一般为:
// 实例化数据抽象层对象 
$db = new PDO('pgsql:host=127.0.0.1;port=5432;dbname=testdb'); 
// 对 SQL 语句执行 prepare,得到 PDOStatement 对象 
$stmt = $db->prepare('SELECT * FROM "myTable" WHERE "id" = :id AND "is_valid" = :is_valid'); 
// 绑定参数 
$stmt->bindValue(':id', $id); 
$stmt->bindValue(':is_valid', true); 
// 查询 
$stmt->execute(); 
// 获取数据 
foreach($stmt as $row) { 
var_dump($row); 
} 
[code] 
对于 MySQL 的特定驱动,也可以这样使用: 
$db = new mysqli("localhost", "user", "pass", "database"); 
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?"); 
$stmt -> bind_param("ss", $user, $pass); 
$stmt -> execute(); 
值得注意的是,以下方式虽然能有效防止 SQL注入 (归功于 mysql_real_escape_string 函数的转义),但并不是真正的参数化查询。其本质仍然是拼接字符串的 SQL 语句。 
[code] 
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'", 
mysql_real_escape_string($Username), 
mysql_real_escape_string($Password)); 
mysql_query($query);

[编辑] JDBC
JDBC用于Java之内。
java.sql.PreparedStatement prep = connection.prepareStatement(
"SELECT * FROM `users` WHERE USERNAME = ? AND PASSWORD = ?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
[编辑] Cold Fusion
<cfquery name="Recordset1" datasource="cafetownsend">
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">
</cfquery>
PHP 相关文章推荐
PHP聊天室技术
Oct 09 PHP
PHP 面向对象实现代码
Nov 11 PHP
php将时间差转换为字符串提示
Sep 07 PHP
php提示Failed to write session data错误的解决方法
Dec 17 PHP
几个优化WordPress中JavaScript加载体验的插件介绍
Dec 17 PHP
PHP浮点比较大小的方法
Feb 14 PHP
在Yii2中使用Pjax导致Yii2内联脚本载入失败的原因分析
Mar 06 PHP
ThinkPHP框架安全实现分析
Mar 14 PHP
smarty学习笔记之常见代码段用法总结
Mar 19 PHP
php 修改上传文件大小限制实例详解
Oct 23 PHP
PHP使用PHPExcel实现批量上传到数据库的方法
Jun 08 PHP
PHP面向对象多态性实现方法简单示例
Sep 27 PHP
php 广告调用类代码(支持Flash调用)
Aug 11 #PHP
php 中英文语言转换类代码
Aug 11 #PHP
php中计算中文字符串长度、截取中文字符串的函数代码
Aug 09 #PHP
php数据结构 算法(PHP描述) 简单选择排序 simple selection sort
Aug 09 #PHP
php的urlencode()URL编码函数浅析
Aug 09 #PHP
php简单的会话类代码
Aug 08 #PHP
php中将时间差转换为字符串提示的实现代码
Aug 08 #PHP
You might like
PHP中foreach循环中使用引用要注意的地方
2011/01/02 PHP
ThinkPHP字符串函数及常用函数汇总
2014/07/18 PHP
php从csv文件读取数据并输出到网页的方法
2015/03/14 PHP
变量在 PHP7 内部的实现(二)
2015/12/21 PHP
PHP+原生态ajax实现的省市联动功能详解
2017/08/15 PHP
PHP实现的简单sha1加密功能示例
2017/08/27 PHP
js中的值类型和引用类型小结 文字说明与实例
2010/12/12 Javascript
jQuery对表单的操作代码集合
2011/04/06 Javascript
node.js中watch机制详解
2014/11/17 Javascript
javascript文件加载管理简单实现方法
2015/07/25 Javascript
javascript自定义in_array()函数实现方法
2015/08/03 Javascript
特殊日期提示功能的实现方法
2016/06/16 Javascript
jQueryeasyui 中如何使用datetimebox 取两个日期间相隔的天数
2017/06/13 jQuery
js实现前端图片上传即时预览功能
2017/08/02 Javascript
JS验证输入的是否是数字及保留几位小数问题
2018/05/09 Javascript
微信小程序实现动态获取元素宽高的方法分析
2018/12/10 Javascript
JS制作简易计算器的实例代码
2020/07/04 Javascript
小程序自动化测试的示例代码
2020/08/11 Javascript
解决vue刷新页面以后丢失store的数据问题
2020/08/11 Javascript
vue自定义指令限制输入框输入值的步骤与完整代码
2020/08/30 Javascript
ant-design-vue 时间选择器赋值默认时间的操作
2020/10/27 Javascript
python如何发布自已pip项目的方法步骤
2018/10/09 Python
python异步存储数据详解
2019/03/19 Python
利用python实现周期财务统计可视化
2019/08/25 Python
详解win10下pytorch-gpu安装以及CUDA详细安装过程
2021/01/28 Python
详解CSS3阴影 box-shadow的使用和技巧总结
2016/12/03 HTML / CSS
加拿大最大的体育用品、鞋类和服装零售商:Sport Chek
2018/11/29 全球购物
网络教育毕业生自我鉴定
2013/10/10 职场文书
留学自荐信的技巧
2013/10/17 职场文书
成品仓管员工作职责
2013/12/29 职场文书
简单租房协议书
2014/04/09 职场文书
优秀党员学习焦裕禄精神思想汇报范文
2014/09/10 职场文书
志愿者爱心公益活动策划方案
2014/09/15 职场文书
2014年新农村建设工作总结
2014/12/01 职场文书
2014年稽查工作总结
2014/12/20 职场文书
大学生暑期社会实践的个人总结!
2019/07/17 职场文书