pdo中使用参数化查询sql


Posted in PHP onAugust 11, 2011

方法 bindParam() 和 bindValue() 非常相似。
唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。
所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。

$stm = $pdo->prepare("select * from users where user = :user"); 
$user = "jack"; 
//正确 
$stm->bindParam(":user",$user); 
//错误 
//$stm->bindParam(":user","jack"); 
//正确 
$stm->bindValue(":user",$user); 
//正确 
$stm->bindValue(":user","jack");

另外在存储过程中,bindParam可以绑定为input/output变量,如下面:
$stm = $pdo->prepare("call func(:param1)"); 
$param1 = "abcd"; 
$stm->bindParam(":param1",$param1); //正确 
$stm->execute();

存储过程执行过后的结果可以直接反应到变量上。
对于那些内存中的大数据块参数,处于性能的考虑,应优先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
参数化查询
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便[来源请求],然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。
除了安全因素,相比起拼接字符串的 SQL 语句,参数化的查询往往有性能优势。因为参数化的查询能让不同的数据通过参数到达数据库,从而公用同一条 SQL 语句。大多数数据库会缓存解释 SQL 语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的 SQL 语句,则会由于操作数据是 SQL 语句的一部分而非参数的一部分,而反复大量解释 SQL 语句产生不必要的开销。
目录
* 1 原理
* 2 SQL 指令撰写方法
o 2.1 Microsoft SQL Server
o 2.2 Microsoft Access
o 2.3 MySQL
o 2.4 PostgreSQL/SQLite
* 3 客户端程序撰写方法
o 3.1 ADO.NET
o 3.2 PDO
o 3.3 JDBC
o 3.4 Cold Fusion
[编辑] 原理
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。
[编辑] SQL 指令撰写方法
在撰写 SQL 指令时,利用参数来代表需要填入的数值,例如:
[编辑] Microsoft SQL Server
Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成,SQL Server 亦支持匿名参数 "?"。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)
[编辑] Microsoft Access
Microsoft Access 不支持具名参数,只支持匿名参数 "?"。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[编辑] MySQL
MySQL 的参数格式是以 "?" 字符加上参数名称而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[编辑] PostgreSQL/SQLite
PostgreSQL 和 SQLite 的参数格式是以 “:” 加上参数名而成。当然,也支持类似 Access 的匿名参数。
UPDATE "myTable" SET "c1" = :c1, "c2" = :c2, "c3" = :c3 WHERE "c4" = :c4
[编辑] 客户端程序撰写方法
在客户端代码中撰写使用参数的代码,例如:
[编辑] ADO.NET
ADO.NET用于ASP.NET之内。
SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); // ?定?? @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); // ?定?? @c2 的值。
sqlcmd.Parameters.AddWithValue("@c3", 3); // ?定?? @c3 的值。
sqlcmd.Parameters.AddWithValue("@c4", 4); // ?定?? @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[编辑] PDO
PDO用于PHP之内。 在使用 PDO 驱动时,参数查询的使用方法一般为:
// 实例化数据抽象层对象 
$db = new PDO('pgsql:host=127.0.0.1;port=5432;dbname=testdb'); 
// 对 SQL 语句执行 prepare,得到 PDOStatement 对象 
$stmt = $db->prepare('SELECT * FROM "myTable" WHERE "id" = :id AND "is_valid" = :is_valid'); 
// 绑定参数 
$stmt->bindValue(':id', $id); 
$stmt->bindValue(':is_valid', true); 
// 查询 
$stmt->execute(); 
// 获取数据 
foreach($stmt as $row) { 
var_dump($row); 
} 
[code] 
对于 MySQL 的特定驱动,也可以这样使用: 
$db = new mysqli("localhost", "user", "pass", "database"); 
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?"); 
$stmt -> bind_param("ss", $user, $pass); 
$stmt -> execute(); 
值得注意的是,以下方式虽然能有效防止 SQL注入 (归功于 mysql_real_escape_string 函数的转义),但并不是真正的参数化查询。其本质仍然是拼接字符串的 SQL 语句。 
[code] 
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'", 
mysql_real_escape_string($Username), 
mysql_real_escape_string($Password)); 
mysql_query($query);

[编辑] JDBC
JDBC用于Java之内。
java.sql.PreparedStatement prep = connection.prepareStatement(
"SELECT * FROM `users` WHERE USERNAME = ? AND PASSWORD = ?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
[编辑] Cold Fusion
<cfquery name="Recordset1" datasource="cafetownsend">
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">
</cfquery>
PHP 相关文章推荐
一个程序下载的管理程序(一)
Oct 09 PHP
php数组总结篇(一)
Sep 30 PHP
PHP 进程锁定问题分析研究
Nov 24 PHP
来自phpguru得Php Cache类源码
Apr 15 PHP
yii上传文件或图片实例
Apr 01 PHP
php使用递归计算文件夹大小
Dec 24 PHP
举例讲解PHP面对对象编程的多态
Aug 12 PHP
PHP实现仿百度文库,豆丁在线文档效果(word,excel,ppt转flash)
Mar 10 PHP
PHP实现网页内容html标签补全和过滤的方法小结【2种方法】
Apr 27 PHP
YII2框架中excel表格导出的方法详解
Jul 21 PHP
Ajax请求PHP后台接口返回信息的实例代码
Aug 21 PHP
PHP图像处理 imagestring添加图片水印与文字水印操作示例
Feb 06 PHP
php 广告调用类代码(支持Flash调用)
Aug 11 #PHP
php 中英文语言转换类代码
Aug 11 #PHP
php中计算中文字符串长度、截取中文字符串的函数代码
Aug 09 #PHP
php数据结构 算法(PHP描述) 简单选择排序 simple selection sort
Aug 09 #PHP
php的urlencode()URL编码函数浅析
Aug 09 #PHP
php简单的会话类代码
Aug 08 #PHP
php中将时间差转换为字符串提示的实现代码
Aug 08 #PHP
You might like
PHP新手上路(十二)
2006/10/09 PHP
菜鸟学PHP之Smarty入门
2007/01/04 PHP
在服务端进行目录建立、删除,文件上传、删除的过程的php代码
2008/09/10 PHP
深入解析php中的foreach函数
2013/08/31 PHP
php获取json数据所有的节点路径
2015/05/17 PHP
WHOOPS PHP调试库的使用
2017/09/29 PHP
JAVASCRIPT 对象的创建与使用
2021/03/09 Javascript
jquery获取元素索引值index()示例
2014/02/13 Javascript
jQuery对象和DOM对象之间相互转换的方法介绍
2015/02/28 Javascript
在linux中使用包管理器安装node.js
2015/03/13 Javascript
JavaScript实现重置表单(reset)的方法
2015/04/02 Javascript
js中 javascript:void(0) 用法详解
2015/08/11 Javascript
完美实现八种js焦点轮播图(下篇)
2020/04/20 Javascript
ES6字符串模板,剩余参数,默认参数功能与用法示例
2017/04/06 Javascript
React Native AsyncStorage本地存储工具类
2017/10/24 Javascript
JS实现十分钟倒计时代码实例
2018/10/18 Javascript
Node.js HTTP服务器中的文件、图片上传的方法
2019/09/23 Javascript
微信小程序:报错(in promise) MiniProgramError
2020/10/30 Javascript
[39:00]Optic vs VP 2018国际邀请赛淘汰赛BO3 第三场 8.24
2018/08/25 DOTA
Python中zfill()方法的使用教程
2015/05/20 Python
python MysqlDb模块安装及其使用详解
2018/02/23 Python
Python读取Excel表格,并同时画折线图和柱状图的方法
2018/10/14 Python
python游戏地图最短路径求解
2019/01/16 Python
python 多维高斯分布数据生成方式
2019/12/09 Python
简单了解为什么python函数后有多个括号
2019/12/19 Python
小白教你PyCharm从下载到安装再到科学使用PyCharm2020最新激活码
2020/09/25 Python
Python监听剪切板实现方法代码实例
2020/11/11 Python
Html5页面上如何禁止手机虚拟键盘弹出
2020/03/19 HTML / CSS
奥地利汽车配件店:Pkwteile.at
2017/03/10 全球购物
安全生产管理合理化建议书
2014/03/12 职场文书
《山谷中的谜底》教学反思
2014/04/26 职场文书
2014年新生军训方案
2014/05/01 职场文书
中秋晚会活动方案
2014/08/31 职场文书
2016年安康杯竞赛活动总结
2016/04/05 职场文书
2019垃圾分类宣传口号汇总
2019/08/16 职场文书
用Python爬取某乎手机APP数据
2021/06/15 Python