PDO 简介——预处理语句和存储过程 $stmt->bindParam(':name', $name);

最新推荐文章于 2025-05-15 18:53:43 发布
转载 最新推荐文章于 2025-05-15 18:53:43 发布 · 2.9k 阅读 · 1

本文介绍了PDO中的预处理语句概念及其优势,包括减少资源消耗、提高执行速度及防止SQL注入等。同时展示了如何使用预处理语句进行数据插入和查询操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

PDO 简介——预处理语句和存储过程

许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:

  1. 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重复执行许多次有不同参数的但结构相同的查询,这个过程会占用大量的时间,使得你的应用变慢。通过使用一个预处理语句你就可以避免重复分析、编译、优化的环节。简单来说,预处理语句使用更少的资源,执行速度也就更快。
  2. 传给预处理语句的参数不需要使用引号,底层驱动会为你处理这个。如果你的应用独占地使用预处理语句,你就可以确信没有SQL注入会发生。(然而,如果你仍然在用基于不受信任的输入来构建查询的其他部分,这仍然是具有风险的)


正因为预处理语句是如此有用,它成了PDO唯一为不支持此特性的数据库提供的模拟实现。这使你可以使用统一的数据访问规范而不必关心数据库本身是否具备此特性。

  1. /*
  2. 使用预处理语句重复插入数据(1)
  3. 此示例演示了一个通过向命名占位符代入一个name和一个value值来执行的INSERT查询
  4. */
  5. $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
  6. $stmt->bindParam(':name'$name);
  7. $stmt->bindParam(':value'$value); //插入一行
  8. $name = 'one';
  9. $value = 1;
  10. $stmt->execute();//使用不同的值插入另一行
  11. $name = 'two';
  12. $value = 2;
  13. $stmt->execute();
  15. /*
  16. 使用预处理语句重复插入数据(2)
  17. 此示例演示了一个通过向用?表示的占位符代入一个name和一个value值来执行的INSERT查询
  18. */
  19. $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
  20. $stmt->bindParam(1, $name);
  21. $stmt->bindParam(2, $value); // 插入一行
  22. $name = 'one';
  23. $value = 1;
  24. $stmt->execute(); // 使用不同的值插入另一行
  25. $name = 'two';
  26. $value = 2;
  27. $stmt->execute();
  29. /*
  30. 通过预处理语句获取数据
  31. 此示例演示使用从表单获取的数据为关键值来执行查询获取数据。用户的输入会被自动添加引号,所以这儿不存在SQL注入攻击的危险。
  32. */
  33. $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
  34.     if ($stmt->execute(array($_GET['name']))) {
  35.         while ($row = $stmt->fetch()) {
  36.         print_r($row);
  37.     }
  38. }

如果数据库驱动支持,你也可以像绑定输入参数那样绑定输出参数。输出参数常用于存储过程的返回值。输出参数用起来比输入参数稍微复杂一些,使用时你必须知道它返回的参数值有多大。如果它返回的参数值比你建议的大,就会发生错误。

  1. //调用一个带有输出参数的存储过程
  2. $stmt = $dbh->prepare("CALL sp_returns_string(?)");
  3. $stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); //执行存储过程
  4. $stmt->execute();
  5. print "procedure returned $return_value/n";

 

你也可以指定既代表输入又代表输出的参数,语法类似于输出参数。在下个代码示例中,“hello”字符串被传递到存储过程中,当它返回时,hello就会被存储过程的返回值取代。

  1. //调用一个带有输入/输出参数的存储过程
  2. $stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");
  3. $value = 'hello';
  4. $stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000);
  5. // 执行存储过程
  6. $stmt->execute();
  7. print "procedure returned $value/n";
  10. //占位符的错误使用
  11. $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
  12. $stmt->execute(array($_GET['name'])); // 占位符必须用于整个值的位置(下面是正确的用法)
  13. $stmt = $dbh->prepare(”SELECT * FROM REGISTRY where name LIKE ?”);
  14. $stmt->execute(array(”%$_GET[name]%”));
PHP学习笔记——MySQL的多种连接方法
qq_41679358的博客
07-09 1421
文章目录连接 MySQLMySQLi - 面向对象PDOMySQL 创建数据库MySQLi - 面向对象PDOMySQL创建数据表MySQLi - 面向对象PDOMySQL 插入数据MySQLi - 面向对象PDOMySQL 插入多条数据MySQLi - 面向对象PDOMySQL 预处理语句MySQLi - 面向对象PDOMySQL 读取数据MySQLi - 面向对象PDOMySQL Where 子句MySQL Order By 关键词MySQL UpdateMySQL DeletePHP 数据库 ODBC
php pdo 查询语句,PDO预处理语句(参数化查询)
weixin_29623481的博客
03-10 586
@(PDO(PHP data object/PHP数据对象))[PDO|预处理语句|参数化查询]The database library called PHP Data Objects or PDO for short can use drivers for many different database types, and supports a very important feature k...
PHP使用PDO调用mssql存储过程的方法示例
12-20
本文实例讲述了PHP使用PDO调用mssql存储过程的方法。分享给大家供大家参考,具体如下: 数据库中已创建存储过程user_logon_check, PHP调用示例如下, <?php $dsn = 'mssql:dbname=MyDbName;host=localhost'; $user = 'sa'; $password = '666666'; try { $dbCon = new PDO($dsn, $user, $password); } catch (PDOException $e) { print 'Connection failed: '.$e->getMes
PDO 简介——预处理语句存储过程
水墨熊猫
09-28 9028
许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重
$stmt->bindParam(:username‘, $username, PDO::PARAM_STR);到底是干什么的?
长风破浪会有时的博客
05-15 295
场景是否需要 bindParam()示例代码执行带参数的 SQL✅防止 SQL 注入✅批量执行相同结构的 SQL✅循环中修改变量值,重复调用execute()处理不同数据类型✅纯静态 SQL(无变量)❌(可选)
预处理语句存储过程
wangsg2014的专栏
07-17 902
很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。预处理语句可以带来两大好处: 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应
php -- PDO预处理
weixin_34223655的博客
07-23 207
   可以使用多种方式实现预处理:指的是在绑定数据进行执行的时候,可以有多种方式。 预处理语句中为变量 使用数组指定预处理变量   1、准备预处理语句(发送给服务器,让服务器准备预处理语句)   PDOStatement PDO::prepare:类似exec将一条SQL语句发送给Mysql服务器       //PDO::prepare 能够自动的准备一个预处理语句,用户需要准备的只...
pdo预处理案例
郝云博客
05-03 2994
pdo防止sql注入预处理 1.查询 public function dologin2(){ $dsn = "mysql:host=127.0.0.1;dbname=php7";//pdo 连接方法 $db = new PDO($dsn, 'root', 'root'); $name=$_POST['name'];//$name="zhangsan' or 'a'
<?php if( isset( $_POST[ 'btnSign' ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize message input $message = stripslashes( $message ); $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $message = htmlspecialchars( $message ); // Sanitize name input $name = stripslashes( $name ); $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $name = htmlspecialchars( $name ); // Update database $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' ); $data->bindParam( ':message', $message, PDO::PARAM_STR ); $data->bindParam( ':name', $name, PDO::PARAM_STR ); $data->execute(); } // Generate Anti-CSRF token generateSessionToken(); ?> 查看这个源码的初级、中级、高级,分析impossible是怎样抵御存储型XSS的
03-25
数据库方面,确保使用预处理语句插入数据,即使数据中有恶意代码,存储时也不会被破坏结构,输出时转义。同时,检查数据库连接的配置,比如使用UTF-8字符集,避免编码绕过。 可能还需要考虑其他措施,比如...
/** * 搜索列表 */ public function lists() { $param = input('param.'); $users = session('?users') ? session('users') : []; $users_id = !empty($users['users_id']) ? intval($users['users_id']) : 0; $admin_id = !empty($users['admin_id']) ? intval($users['admin_id']) : 0; $nowTime = getTime(); /*记录搜索词*/ if (!isset($param['keywords'])) { die('标签调用错误:缺少属性 name="keywords",请查看标签教程修正 <a href="https://www.eyoucms.com/plus/view.php?aid=521" target="_blank">前往查看</a>'); } $word = $this->request->param('keywords'); if(empty($word)){ $this->error(foreign_lang('system15', $this->home_lang)); } $page = $this->request->param('page'); if(!empty($word) && 2 > $page) { $word_decode = htmlspecialchars_decode($word); $searchConf = tpCache('search'); if (!isset($searchConf['search_tabu_words'])) { $searchConf['search_tabu_words'] = ['<','>','"',';',',','@','&','#','\\','*']; } else { $searchConf['search_tabu_words'] = explode(PHP_EOL, $searchConf['search_tabu_words']); } /*前台禁止搜索开始*/ if (!empty($searchConf['search_tabu_words'])) { foreach ($searchConf['search_tabu_words'] as $key => $val) { if (strstr($word_decode, $val)) { $msg = sprintf(foreign_lang('system13', $this->home_lang), $val); $this->error($msg); } } } /*if (is_dir('./weapp/Wordfilter/')) { $wordfilterRow = Db::name('weapp')->where(['code'=>'Wordfilter', 'status'=>1])->find(); if(!empty($wordfilterRow['data'])){ $wordfilterRow['data'] = json_decode($wordfilterRow['data'], true); if ($wordfilterRow['data']['search'] == 3){ $wordfilter = Db::name('weapp_wordfilter')->where(['title'=>$word, 'status'=>1])->find(); if(!empty($wordfilter)){ $this->error('包含敏感关键词,禁止搜索!'); } } } }*/ /*前台禁止搜索结束*/ // 如果tag标签有,默认跳到tag列表页 /*$tagInfo = Db::name('tagindex') ->alias('a') ->field('a.id AS tagid') ->join('taglist b','a.id=b.tid','left') ->where(['a.tag'=>$word,'b.arcrank'=>['egt',0]]) ->find(); if (!empty($tagInfo)) { $city_switch_on = config('city_switch_on'); $domain = preg_replace('/^(http(s)?:)?(\/\/)?([^\/\:]*)(.*)$/i', '${1}${3}${4}', tpCache('web.web_basehost')); if (empty($city_switch_on)) { $tagurl = tagurl('home/Tags/lists', array('tagid'=>$tagInfo['tagid'])); } else { $tagurl = tagurl('home/Tags/lists', array('tagid'=>$tagInfo['tagid']), true, $domain); } $this->redirect($tagurl); exit; }*/ $word = addslashes($word); $method = input('param.method/d'); if (!empty($method)) { /*搜索频率限制 start*/ if (!isset($searchConf['search_second'])) { $searchConf['search_second'] = 60; } if (!isset($searchConf['search_maxnum'])) { $searchConf['search_maxnum'] = 5; } if (!isset($searchConf['search_locking'])) { $searchConf['search_locking'] = 120; } if (empty($admin_id) && 0 < $searchConf['search_second']) { $where = []; if (!empty($users_id)) { $where['users_id'] = $users_id; } else { $where['ip'] = clientIP(); } $where2 = [ 'update_time' => ['gt', $nowTime - $searchConf['search_second']], ]; $searchTotal = Db::name('search_word')->where($where)->where($where2)->count(); $lockingInfo = Db::name('search_locking')->where($where)->find(); if ($searchTotal >= intval($searchConf['search_maxnum'])) { if (empty($lockingInfo)) { $lockingInfo = [ 'users_id' => $users_id, 'ip' => clientIP(), 'locking_time' => $nowTime, 'add_time' => $nowTime, 'update_time' => $nowTime, ]; $insertId = Db::name('search_locking')->insertGetId($lockingInfo); $lockingInfo['id'] = $insertId; } else { if (($lockingInfo['locking_time'] + $searchConf['search_locking']) < $nowTime) { Db::name('search_locking')->where(['id'=>$lockingInfo['id']])->update([ 'locking_time' => $nowTime, 'update_time' => $nowTime, ]); $lockingInfo['locking_time'] = $nowTime; } } } if (!empty($lockingInfo)) { $locking_time = !empty($lockingInfo['locking_time']) ? $lockingInfo['locking_time'] : 0; $surplus_time = $locking_time + $searchConf['search_locking'] - $nowTime; if ($surplus_time > 0) { $minute = ceil($surplus_time/60); $msg = sprintf(foreign_lang('system14', $this->home_lang), $minute); $this->error($msg, null, [], $surplus_time); } } } /*搜索频率限制 end*/ /*记录搜索词*/ $row = $this->searchword_db->field('id')->where(['word'=>$word, 'lang'=>$this->home_lang])->find(); if(empty($row)) { $this->searchword_db->insert([ 'word' => $word, 'sort_order' => 100, 'users_id' => $users_id, 'ip' => clientIP(), 'lang' => $this->home_lang, 'add_time' => $nowTime, 'update_time' => $nowTime, ]); }else{ $this->searchword_db->where(['id'=>$row['id']])->update([ 'searchNum' => Db::raw('searchNum+1'), 'users_id' => $users_id, 'ip' => clientIP(), 'update_time' => $nowTime, ]); } } } /*--end*/ $result = $param; !isset($result['keywords']) && $result['keywords'] = ''; $eyou = array( 'field' => $result, ); $this->eyou = array_merge($this->eyou, $eyou); $this->assign('eyou', $this->eyou); /*模板文件*/ $viewfile = 'lists_search'; $channelid = input('param.channelid/d'); if (!empty($channelid)) { $viewfilepath = TEMPLATE_PATH.$this->theme_style_path.DS.$viewfile."_{$channelid}.".$this->view_suffix; if (file_exists($viewfilepath)) { $viewfile .= "_{$channelid}"; } } /*--end*/ if (config('city_switch_on') && !empty($this->home_site)) { // 多站点内置模板文件名 $viewfilepath = TEMPLATE_PATH.$this->theme_style_path.DS.$this->home_site; $viewfilepath2 = TEMPLATE_PATH.$this->theme_style_path.DS.'city'.DS.$this->home_site; if (!empty($this->eyou['global']['site_template'])) { if (file_exists($viewfilepath2)) { $viewfile = "city/{$this->home_site}/{$viewfile}"; } else if (file_exists($viewfilepath)) { $viewfile = "{$this->home_site}/{$viewfile}"; } } } else if (config('lang_switch_on') && !empty($this->home_lang)) { // 多语言内置模板文件名 $viewfilepath = TEMPLATE_PATH.$this->theme_style_path.DS.$viewfile."_{$this->home_lang}.".$this->view_suffix; if (file_exists($viewfilepath)) { $viewfile .= "_{$this->home_lang}"; } } return $this->fetch(":{$viewfile}"); } 检测sql注入利用链
最新发布
07-30
- **使用预处理语句**:优先PDO或MySQLi,避免直接拼接查询。 ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username"); $stmt->bindParam(':username', $_POST['username']); $stmt-...
会员注册要求按照下面示例进行编写通过post提交用户需要添加的信息到registerResult.php,将用户信息添加到数据库里 image.png (1)在registerResult.php页面通过post获取表单提交的数据 $userName 获取用户名称 $password 获取用户密码 $checkPwd 获取用户确认密码 (2)使用 PDO 方式,链接操作 MySQL 数据库,执行 insert 语句,将表单提交数据的用户名密码,插入 admin 表 备注:数据表 admin 结构: id 自增序号 username 用户名 password 用户密码 对以下代码进行补充<?php header("content-type:text/html;charset=utf-8"); //$host,$dbname,$user,$pwd是自动生成的数据库相关信息,不能修改 //连接数据库时不需要写端口号 //数据库默认数据不能更改 $host = "mysql";//MySQL所在的服务器的IP $dbname = "database_46541_19_91471";//数据库名称 $user = "46541_19_91471";//数据库用户 $pwd = "54ff8238176b694a46b85e7981dfadb6";//数据库密码 示例:会员登录通过 post 提交用户信息到 loginUser.php,查询 admin 用户表用户数据,如果匹配的话登录成功 image.png 1)loginUser.php 页面通过 post 获取传递过来的参数 $userName 获取用户名称 $password 获取用户密码 2)使用 PDO 方式,连接 MySQL 数据库,通过表单提交数据的用户名密码查询 admin 表,将通过fetch()查询出的结果集赋值给变量 $rs 备注:数据表 admin 结构: id 自增序号 username 用户名 password 用户密码 代码<?php header("content-type:text/html;charset=utf-8"); //$host,$dbname,$user,$pwd是自动生成的数据库相关信息,不能修改 //连接数据库时不需要写端口号 $host = "mysql";//MySQL所在的服务器的IP $dbname = "database_46551_19_91472";//数据库名称 $user = "46551_19_91472";//数据库用户 $pwd = "b89b80210837d4790dea8a9dd994dfc8";//数据库密码 $userName = $_POST['userName'] ?? ''; $password = $_POST['password'] ?? ''; $dsn = "mysql:host={$host};dbname={$dbname};"; $pdo = new PDO($dsn, $user, $pwd); $stmt = $pdo->prepare("SELECT * FROM admin WHERE username=? AND password=?"); $stmt->execute([$userName, $password]); $rs = $stmt->fetch(); // 4. 验证结果 if ($rs) { echo "登录成功"; } else { echo "用户名或密码错误"; }?>
06-13
下面是一个完整的用户注册实现方案,使用PDO预处理语句防止SQL注入,包含表单提交、参数验证数据插入逻辑: ```php // 注册页面 register.php session_start(); // 数据库配置 $host = 'localhost'; $dbname = ...
PDO 预处理
Amn-o的博客
04-11 631
连接try{ $conn=new PDO('mysql:host=localhost;port=3306;dbname=pdo_test','root','root'); }catch(PDOException $e){ echo $e-&gt;getMessage(); } $pdo-&gt;query('set names utf8'); 插入$sql = "insert into ...
PDO预处理
烈火熊熊在我心
08-06 1872
这篇来说一下PDO预处理。原理本质上就是编译一次,多次执行。PDO预处理语句(prepared statement)机制,是将一条SQL命令向数据库服务器发送一次(此时发送的参数不是实参,是占位符),以后参数发生变化,数据库服务器只需对命令的结构做一次分析就够了。$stmt = $conn->prepare("insert into categorylink (did,cid) values (:d
pdo预处理
qcy_10086的博客
09-06 491
//链接数据库 $dsn="mysql:host=127.0.0.1;dbname=jq"; $pdo=new PDO($dsn,"root","root"); //防乱码 $pdo->exec("set names utf8"); //准备语句 $sql="select * from lianxi1 where name=:name"; $stem=$pdo->prepare($s
PDO中的存储过程
Lemon
01-11 646
存储过程允许在更接近于数据的位置操作数据,从而减少带宽的使用,它们使数据独立于脚本逻辑,允许使用不同语言的多个系统以相同的方式访问数据,从而节省花费在编码调试上的宝贵时间。同时它使用预定义的方案执行操作,提高查询速度,并且能够阻止与数据的直接相互作用,从而起到保护数据的作用。 在PDO调用存储过程之前,先创建一个存储过程,其SQL语句如下: drop procedure if exist...
PDO预处理
qq_25285531的博客
05-06 591
PDO中的基本的原理步骤MySQL中的预处理都是一样的,只不过就是把MySQL中的预处理所有命令行的语法封装成了PDO对象的几个公开的方法而已! 1.发送预处理语句 此时,我们需要调用pdo对象的prepare方法,得到一个PDOStatement结果对象! 2.绑定参数 调用PDOStatement对象中的bindParam方法: 3.执行预处理语句 调用PDOStatement对象中的e...
PHP:PDO预处理
weixin_43731793的博客
09-17 411
** ** ** ** ** ** ** ** ** ** **
08-PDO预处理操作
我们的目标是星辰大海!
12-17 629
08-PDO预处理操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值