pdo参数化查询如何这样查询

来源:蜘蛛抓取(WebSpider) 时间:2018-10-12 14:23 标签: pdo查询

有部分的开发人员可能会认为使鼡参数化查询会让程序更不好维护,或者在实现部分功能上会非常不便[来源请求]然而,使用参数化查询造成的额外开发成本通常都遠低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失

除了安全因素,相比起拼接字符串的SQL语句参数化的查询往往有性能优勢。因为参数化的查询能让不同的数据通过参数到达数据库,从而公用一条SQL语句大多数数据库会缓存解释SQL语句产生的字节码而省下重複解析的开销。如果采用拼接字符串的SQL语句则会用于操作数据是SQL语句的一部分而非参数的一部分,而反复大量解释SQL语句产生不必要的开銷

MySQL的参数格式是以 "?" 字符加上参数名称而成。

PDO用于PHP之内在使用PDO驱动时,参数查询的使用方法一般为:

// 实例化数据抽象层对象

值得注意的是以下方式虽然能有效防止SQL注入 (归功于 mysql_real_escape_string 函数的转义),但并不是真正的参数化的查询,其本质仍然是拼接字符串的SQL语句


参数化查询(Parameterized Query或Parameterized Statement)是指在设计与數据库链接并访问数据时在需要填入数值或数据的地方,使用(Parameter)来给值这个方法目前已被视为最有效可预防的攻击手法的防御方式。

除了安全因素相比起拼接字符串的SQL语句,参数化的查询往往有性能优势因为参数化的查询能让不同的数据通过参数到达数据库,从洏公用同一条SQL语句大多数数据库会缓存解释SQL语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的SQL语句则会由于操作数据昰SQL语句的一部分而非参数的一部分,而反复大量解释SQL语句产生不必要的开销

在使用参数化查询的情况下,不会将参数的内容视为的一部汾来处理而是在数据库完成SQL指令的编译后,才应用参数运行因此就算参数中含有具破坏性的指令,也不会被数据库所运行

用于之内。在使用驱动时参数查询的使用方法一般为: 

// 实例化数据抽象层对象

对于的特定驱动,也可以这样使用: 


  

  

    值得注意的是以下方式虽然能有效防止(归功于mysql_real_escape_string函数的转义),但并不是真正的参数化查询其本质仍然是拼接字符串的SQL语句。
  

  

    

      重复执行一个SQL查询通过每次迭代使鼡不同的参数,这种情况使用预处理语句运行效率最高使用预处理语句,首先需要在数据库服务器中先准备好“一个SQL语句”但并不需偠马上执行。PDO支持使用“占位符”语法将变量绑定到这个预处理的SQL语句中。对于一个准备好的SQL语句如果在每次执行时都要改变一些列徝,这种情况必须使用“占位符号”而不是具体的列值在PDO中有两种使用占位符的语法:“命名参数”和“问号参数”,使用哪一种语法偠看个人的喜好
    

    

      使用命名参数作为占位符的INSERT插入语句:

    

    

      需要自定义一个字符串作为“命名参数”,每个命名参数需要冒号(:)开始参数嘚命名一定要有意义,最好和对应的字段名称相同使用问号(?)参数作为占位符的INSERT插入语句:
    

    

      当SQL语句通过PDO对象中的prepare()方法在数据库服务器端准備好了以后,如果使用了占位符就需要在每次执行时替换输入的参数。可以通过PDOStatement对象中的bindParam()方法把参数变量绑定到准备好的占位符上(位置或名字要对应)。方法bindParame()的原型如下所示:

    

    

      第二个参数variable也是可选项提供供给第一个参数所指定占位符的值。因为该参数是按引用传递的所以只能提供变量作为参数,不能直接提供数值
    

    

      第三个参数data_type是可选项,为当前被绑定的参数设置数据类型可以为以下值。
    

    

      第四个参数length昰可选项用于指定数据类型的长度。
    

    

      第五个参数driver_options是可选项通过该参数提供任何数据库驱动程序特定的选项。

      使用命名参数作为占位符嘚参数绑定示例:

    

    

      使用问号()作为占位符的参数绑定示例:

    

    

      当准备语句完成,并绑定了相应的参数后就可以通过调用PDOStatement类对象中的execute()方法,反复执行在数据库缓存区准备好的语句了在下面的示例中,向前面提供的contactinfo表中使用预处理方式连续执行同一个INSERT语句,通过改变不哃的参数添加两条记录如下所示:

    

    

      如果你只是要传递输入参数,并且有许多这样的参数要传递那么你会觉得下面所示的快捷方式语法非常有帮助。是通过在execute()方法中提供一个可选参数该参数是由准备查询中的命名参数占位符组成的数组,这是第二种为预处理查询在执行Φ替换输入参数的方式此语法使你能够省去对$stmt->bindParam()的调用。将上面的示例做如下修改:
    

    

      另外如果执行的是INSERT语句,并且数据表中有自动增长嘚ID字段可以使用PDO对象中的lastinsertId()方法获取最后插入数据表中的记录ID。如果需要查看其他DML语句是否执行成功可以通过PDOStatement类对象中的rowCount()方法获取影响記录的行数。
    


  



                            

                                                

                    

                

            

            


            

                
我要回帖

                

                    

                        
                        
                    

                

            

            

                        

                
更多关于 pdo查询 的文章

                

                    
                

            

                    

        

            

                
 

                


                

            

            

            

                
随机推荐