PHP MySQL 預處理語句

預處理語句對于防止 MySQL 注入是非常有用的。

預處理語句及綁定參數(shù)

預處理語句用于執(zhí)行多個相同的 SQL 語句，并且執(zhí)行效率更高。

預處理語句的工作原理如下：

1.     預處理：創(chuàng)建 SQL 語句模板并發(fā)送到數(shù)據(jù)庫。預留的值使用參數(shù) "?" 標記 。例如：

2.  INSERT

   INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)

3.     數(shù)據(jù)庫解析，編譯，對SQL語句模板執(zhí)行查詢優(yōu)化，并存儲結果不輸出。

4.     執(zhí)行：最后，將應用綁定的值傳遞給參數(shù)（"?" 標記），數(shù)據(jù)庫執(zhí)行語句。應用可以多次執(zhí)行語句，如果參數(shù)的值不一樣。

相比于直接執(zhí)行SQL語句，預處理語句有兩個主要優(yōu)點：

·         預處理語句大大減少了分析時間，只做了一次查詢（雖然語句多次執(zhí)行）。

·         綁定參數(shù)減少了服務器帶寬，你只需要發(fā)送查詢的參數(shù)，而不是整個語句。

·         預處理語句針對SQL注入是非常有用的，因為參數(shù)值發(fā)送后使用不同的協(xié)議，保證了數(shù)據(jù)的合法性。

MySQLi 預處理語句

以下實例在 MySQLi 中使用了預處理語句，并綁定了相應的參數(shù):

實例 (MySQLi 使用預處理語句)

<?php
 $servername = "localhost";
 $username = "username";
 $password = "password";
 $dbname = "myDB";
 
 // 創(chuàng)建連接
 $conn = new mysqli($servername, $username, $password, $dbname);
 
 // 檢測連接
 if ($conn->connect_error) {
     die("連接失敗: " . $conn->connect_error);
 }
 
 // 預處理及綁定
 $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)");
 $stmt->bind_param("sss", $firstname, $lastname, $email);
 
 // 設置參數(shù)并執(zhí)行
 $firstname = "John";
 $lastname = "Doe";
 $email = "john@example.com";
 $stmt->execute();
 
 $firstname = "Mary";
 $lastname = "Moe";
 $email = "mary@example.com";
 $stmt->execute();
 
 $firstname = "Julie";
 $lastname = "Dooley";
 $email = "julie@example.com";
 $stmt->execute();
 
 echo "新記錄插入成功";
 
 $stmt->close();
 $conn->close();
 ?>

 解析以下實例的每行代碼:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"

在 SQL 語句中，我們使用了問號 (?)，在此我們可以將問號替換為整型，字符串，雙精度浮點型和布爾值。

接下來，讓我們來看下 bind_param() 函數(shù)：

$stmt->bind_param("sss", $firstname, $lastname, $email);

該函數(shù)綁定了 SQL 的參數(shù)，且告訴數(shù)據(jù)庫參數(shù)的值。 "sss" 參數(shù)列處理其余參數(shù)的數(shù)據(jù)類型。s 字符告訴數(shù)據(jù)庫該參數(shù)為字符串。

參數(shù)有以下四種類型:

·         i - integer（整型）

·         d - double（雙精度浮點型）

·         s - string（字符串）

·         b - BLOB（binary large object:二進制大對象）

每個參數(shù)都需要指定類型。

通過告訴數(shù)據(jù)庫參數(shù)的數(shù)據(jù)類型，可以降低 SQL 注入的風險。

注意： 如果你想插入其他數(shù)據(jù)（用戶輸入），對數(shù)據(jù)的驗證是非常重要的。

PDO 中的預處理語句

以下實例我們在 PDO 中使用了預處理語句并綁定參數(shù):

實例 (PDO 使用預處理語句)

<?php
 $servername = "localhost";
 $username = "username";
 $password = "password";
 $dbname = "myDBPDO";
 try {
     $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
     // 設置 PDO 錯誤模式為異常
     $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
 
     // 預處理 SQL 并綁定參數(shù)
     $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) 
     VALUES (:firstname, :lastname, :email)");
     $stmt->bindParam(':firstname', $firstname);
     $stmt->bindParam(':lastname', $lastname);
     $stmt->bindParam(':email', $email);
     // 插入行
     $firstname = "John";
     $lastname = "Doe";
     $email = "john@example.com";
     $stmt->execute();
     // 插入其他行
     $firstname = "Mary";
     $lastname = "Moe";
     $email = "mary@example.com";
     $stmt->execute();
     // 插入其他行
     $firstname = "Julie";
     $lastname = "Dooley";
     $email = "julie@example.com";
     $stmt->execute();
     echo "新記錄插入成功";
 }
 catch(PDOException $e)
 {
     echo $sql . "<br>" . $e->getMessage();
 }
 $conn = null;
 ?>