PDO 简介

许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:

  1. 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重复执行许多次有不同参数的但结构相同的查询,这个过程会占用大量的时间,使得你的应用变慢。通过使用一个预处理语句你就可以避免重复分析、编译、优化的环节。简单来说,预处理语句使用更少的资源,执行速度也就更快。
  2. 传给预处理语句的参数不需要使用引号,底层驱动会为你处理这个。如果你的应用独占地使用预处理语句,你就可以确信没有SQL注入会发生。(然而,如果你仍然在用基于不受信任的输入来构建查询的其他部分,这仍然是具有风险的)

正因为预处理语句是如此有用,它成了PDO唯一为不支持此特性的数据库提供的模拟实现。这使你可以使用统一的数据访问规范而不必关心数据库本身是否具备此特性。

    1. /*
    2. 使用预处理语句重复插入数据(1)
    3. 此示例演示了一个通过向命名占位符代入一个name和一个value值来执行的INSERT查询
    4. */
    5. $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
    6. $stmt->bindParam(':name', $name);
    7. $stmt->bindParam(':value', $value); //插入一行
    8. $name = 'one';
    9. $value = 1;
    10. $stmt->execute();//使用不同的值插入另一行
    11. $name = 'two';
    12. $value = 2;
    13. $stmt->execute();
    14. /*
    15. 使用预处理语句重复插入数据(2)
    16. 此示例演示了一个通过向用?表示的占位符代入一个name和一个value值来执行的INSERT查询
    17. */
    18. $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
    19. $stmt->bindParam(1, $name);
    20. $stmt->bindParam(2, $value); // 插入一行
    21. $name = 'one';
    22. $value = 1;
    23. $stmt->execute(); // 使用不同的值插入另一行
    24. $name = 'two';
    25. $value = 2;
    26. $stmt->execute();
    27. /*
    28. 通过预处理语句获取数据
    29. 此示例演示使用从表单获取的数据为关键值来执行查询获取数据。用户的输入会被自动添加引号,所以这儿不存在SQL注入攻击的危险。
    30. */
    31. $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
    32. if ($stmt->execute(array($_GET['name']))) {
    33. while ($row = $stmt->fetch()) {
    34. print_r($row);
    35. }
    36. }

如果数据库驱动支持,你也可以像绑定输入参数那样绑定输出参数。输出参数常用于存储过程的返回值。输出参数用起来比输入参数稍微复杂一些,使用时你必须知道它返回的参数值有多大。如果它返回的参数值比你建议的大,就会发生错误。

    1. //调用一个带有输出参数的存储过程
    2. $stmt = $dbh->prepare("CALL sp_returns_string(?)");
    3. $stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); //执行存储过程
    4. $stmt->execute();
    5. print "procedure returned $return_value/n";

你也可以指定既代表输入又代表输出的参数,语法类似于输出参数。在下个代码示例中,“hello”字符串被传递到存储过程中,当它返回时,hello就会被存储过程的返回值取代。

    1. //调用一个带有输入/输出参数的存储过程
    2. $stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");
    3. $value = 'hello';
    4. $stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000);
    5. // 执行存储过程
    6. $stmt->execute();
    7. print "procedure returned $value/n";
    8. //占位符的错误使用
    9. $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
    10. $stmt->execute(array($_GET['name'])); // 占位符必须用于整个值的位置(下面是正确的用法)
    11. $stmt = $dbh->prepare(”SELECT * FROM REGISTRY where name LIKE ?”);
    12. $stmt->execute(array(”%$_GET[name]%”));
(0)

相关推荐

  • PHP中的MySQLi扩展学习(五)MySQLI_STMT对象操作

    PHP中的MySQLi扩展学习(五)MySQLI_STMT对象操作 就像 PDO 中的 PDO_Statment 对象一样,MySQLI_STMT 对象也是一个预处理语句所形成的对象,专门用来操作 M ...

  • PHP中的MySQLi扩展学习(四)mysqli的事务与预处理语句

    PHP中的MySQLi扩展学习(四)mysqli的事务与预处理语句 对于 MySQLi 来说,事务和预处理语句当然是它之所以能够淘汰 MySQL(原始) 扩展的资本.我们之前也已经学习过了 PDO 中 ...

  • PHP中的MySQLi扩展学习(一)MySQLi介绍

    PHP中的MySQLi扩展学习(一)MySQLi介绍 关于 PDO 的学习我们告一段落,从这篇文章开始,我们继续学习另外一个 MySQL 扩展,也就是除了 PDO 之外的最核心的 MySQLi 扩展. ...

  • PHP中的PDO操作学习(三)预处理类及绑定数据

    PHP中的PDO操作学习(三)预处理类及绑定数据 要说 PDO 中最强大的功能,除了为不同的数据库提供了统一的接口之外,更重要的就是它的预处理能力,也就是 PDOStatement 所提供的功能.因为 ...

  • 从PDO下的注入思路到获得GIT 2000star项目0day(文末0day福利)

    bypass部分       温馨提示       本文章仅供学习交流使用,文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 0 ...

  • PHP中的PDO操作学习(二)预处理语句及事务

    PHP中的PDO操作学习(二)预处理语句及事务 今天这篇文章,我们来简单的学习一下 PDO 中的预处理语句以及事务的使用,它们都是在 PDO 对象下的操作,而且并不复杂,简单的应用都能很容易地实现.只 ...

  • 浅析mysql存储过程

    去年的强网杯,出了一道mysql堆叠注入叫随便注,这道题被好多比赛玩了一整年,直到现在还是有各种新姿势,但是今天我忽然想到似乎没有对这个题目有一个很认真的分析,因此这里总结一下这个题目的出题用意和原本 ...

  • PHP中的PDO操作学习(四)查询结构集

    PHP中的PDO操作学习(四)查询结构集 关于 PDO 的最后一篇文章,我们就以查询结果集的操作为结束.在数据库的操作中,查询往往占的比例非常高.在日常的开发中,大部分的业务都是读多写少型的业务,所以 ...

  • PHP中操作数据库的预处理语句

    PHP中操作数据库的预处理语句 今天这篇文章的内容其实也是非常基础的内容,不过在现代化的开发中,大家都使用框架,已经很少人会去自己封装或者经常写底层的数据库操作代码了.所以这回我们就来复习一下数据库中 ...

  • [PHP小课堂]PHP中的PDO学习(二)预处理语句及事务

    [PHP小课堂]PHP中的PDO学习(二)预处理语句及事务

  • PHP中的PDO对象操作学习(一)初始化PDO及原始SQL语句操作

    PHP中的PDO对象操作学习(一)初始化PDO及原始SQL语句操作 PDO 已经是 PHP 中操作数据库事实上的标准.包括现在的框架和各种类库,都是以 PDO 作为数据库的连接方式.基本上只有我们自己 ...