PHP中有哪些PDO預處理語句

本篇文章給大家分享的是有關PHP中有哪些PDO預處理語句，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

PHP PDO 預處理語句與存儲過程

很多更成熟的數據庫都支持預處理語句的概念。

什么是預處理語句？可以把它看作是想要運行的 SQL 的一種編譯過的模板，它可以使用變量參數進行定制。預處理語句可以帶來兩大好處：

• 查詢僅需解析（或預處理）一次，但可以用相同或不同的參數執行多次。當查詢準備好后，數據庫將分析、編譯和優化執行該查詢的計劃。對于復雜的查詢，此過程要花費較長的時間，如果需要以不同參數多次重復相同的查詢，那么該過程將大大降低應用程序的速度。通過使用預處理語句，可以避免重復分析/編譯/優化周期。簡言之，預處理語句占用更少的資源，因而運行得更快。

• 提供給預處理語句的參數不需要用引號括起來，驅動程序會自動處理。如果應用程序只使用預處理語句，可以確保不會發生SQL 注入。（然而，如果查詢的其他部分是由未轉義的輸入來構建的，則仍存在 SQL 注入的風險）。

預處理語句如此有用，以至于它們唯一的特性是在驅動程序不支持的時PDO 將模擬處理。這樣可以確保不管數據庫是否具有這樣的功能，都可以確保應用程序可以用相同的數據訪問模式。

用預處理語句進行重復插入

下面例子通過用 name 和 value 替代相應的命名占位符來執行一個插入查詢

<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();
// 用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
?>

用預處理語句進行重復插入

下面例子通過用 name 和 value 取代 ? 占位符的位置來執行一條插入查詢。

<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);
// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();
// 用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
?>

使用預處理語句獲取數據

下面例子獲取數據基于鍵值已提供的形式。用戶的輸入被自動用引號括起來，因此不會有 SQL 注入攻擊的危險。

<?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
if ($stmt->execute(array($_GET['name']))) {
 while ($row = $stmt->fetch()) {
  print_r($row);
 }
}
?>

如果數據庫驅動支持，應用程序還可以綁定輸出和輸入參數.輸出參數通常用于從存儲過程獲取值。輸出參數使用起來比輸入參數要稍微復雜一些，因為當綁定一個輸出參數時，必須知道給定參數的長度。如果為參數綁定的值大于建議的長度，就會產生一個錯誤。

帶輸出參數調用存儲過程

<?php
$stmt = $dbh->prepare("CALL sp_returns_string(?)");
$stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000);
// 調用存儲過程
$stmt->execute();
print "procedure returned $return_value\n";
?>

還可以指定同時具有輸入和輸出值的參數，其語法類似于輸出參數。在下一個例子中，字符串"hello"被傳遞給存儲過程，當存儲過程返回時，hello 被替換為該存儲過程返回的值。

帶輸入/輸出參數調用存儲過程

<?php
$stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");
$value = 'hello';
$stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000);
// 調用存儲過程
$stmt->execute();
print "procedure returned $value\n";
?>

占位符的無效使用

<?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
$stmt->execute(array($_GET['name']));
// 占位符必須被用在整個值的位置
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->execute(array("%$_GET[name]%"));
?>

以上就是PHP中有哪些PDO預處理語句，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。