Kenyataan yang disediakan di MySQLI menghalang suntikan SQL dan meningkatkan kecekapan dengan memisahkan logik SQL dari input data. Untuk menggunakannya dengan berkesan: 1) Sambungkan ke pangkalan data, 2) Sediakan pernyataan SQL dengan ruang letak, 3) mengikat parameter dengan betul mengikut jenis (s untuk rentetan, saya untuk integer, dll.), 4) Melaksanakan pernyataan, 5) mengambil keputusan dengan selamat menggunakan bind_result () untuk pilihan pilihan, dan 6) Kesalahan biasa termasuk parameter yang salah mengikat, gagal memeriksa jika menyediakan () mengembalikan palsu, dan tidak menetapkan semula pembolehubah semasa gelung, tetapi mengikuti amalan terbaik memastikan kod yang selamat dan dikekalkan.

當你 'Bekerja dengan pangkalan data dalam PHP, menggunakan pernyataan yang disediakan dengan MySQLI adalah salah satu cara terbaik untuk memastikan aplikasi anda selamat dan cekap. Mereka membantu mencegah suntikan SQL dengan memisahkan logik SQL dari input data.

Inilah cara menggunakan kenyataan yang disediakan dengan MySQLI dengan berkesan.

Apakah penyataan yang disediakan?

Kenyataan yang disediakan adalah ciri dalam mysqli yang membolehkan anda menulis pertanyaan SQL sekali dan kemudian melaksanakannya beberapa kali dengan parameter yang berbeza. Daripada membina pertanyaan dengan menggabungkan rentetan (yang boleh berbahaya), anda menyediakan templat dan mengikat pembolehubah kepada ruang letak.

Kaedah ini memastikan bahawa input pengguna sentiasa dianggap sebagai data, bukan kod yang boleh dilaksanakan.

Cara Menggunakan Kenyataan yang Disediakan dengan Mysqli

Menggunakan pernyataan yang disediakan melibatkan beberapa langkah yang jelas:

1. Sambungkan ke pangkalan data
2. Sediakan penyataan SQL
3. Mengikat parameter
4. Melaksanakan pernyataan
5. Dapatkan Keputusan (jika diperlukan)
6. Tutup kenyataan

Mari berjalan melalui contoh asas:

 // 1. Sambungkan ke pangkalan data
$ mysqli = mysqli baru ("localhost", "nama pengguna", "kata laluan", "pangkalan data");

// Sambungan periksa
jika ($ mysqli-> connect_error) {
    mati ("Sambungan gagal:". $ mysqli-> connect_error);
}

// 2. Sediakan pernyataan SQL
$ stmt = $ mysqli-> Sediakan ("masukkan ke pengguna (nama, e-mel) nilai (?,?)");

// 3.
$ stmt-> bind_param ("ss", $ nama, $ e-mel);

// 4. Tetapkan nilai dan laksanakan
$ name = "John Doe";
$ email = "john@example.com";
$ stmt-> Execute ();

echo "rekod dimasukkan dengan jayanya.";

// 6. Tutup pernyataan dan sambungan
$ stmt-> tutup ();
$ mysqli-> tutup ();

Anda juga boleh menggunakan pendekatan ini untuk SELECT , UPDATE , dan DELETE operasi.

Parameter mengikat dengan betul

Salah satu bahagian yang paling penting menggunakan pernyataan yang disediakan ialah mengikat pembolehubah anda dengan betul. Fungsi bind_param() mengambil rentetan jenis diikuti oleh pembolehubah.

• "s" untuk rentetan
• "i" untuk Integer
• "d" untuk dua kali ganda
• "b" untuk gumpalan

Pastikan bilangan dan jenis pembolehubah sepadan dengan ruang letak dalam pertanyaan SQL anda.

Contohnya:

 $ stmt = $ mysqli-> Sediakan ("pilih id dari pengguna di mana nama =? dan umur>?");
$ stmt-> bind_param ("si", $ nama, $ usia);

Dalam kes ini, parameter pertama ( $name ) adalah rentetan, dan yang kedua ( $age ) adalah integer.

Jika anda mendapat salah ini, pertanyaan anda mungkin tidak berkelakuan seperti yang diharapkan atau boleh gagal dengan senyap.

Mengambil keputusan dengan selamat

Apabila mengambil data dengan pertanyaan SELECT , anda perlu mengikat pembolehubah hasil sebelum mengambilnya. Inilah Caranya:

 $ stmt = $ mysqli-> Sediakan ("pilih id, nama dari pengguna di mana id =?");
$ stmt-> bind_param ("i", $ user_id);
$ stmt-> Execute ();
$ stmt-> bind_result ($ id, $ name);

manakala ($ stmt-> fetch ()) {
    echo "id: $ id, nama: $ name <br>";
}

$ stmt-> tutup ();

Kaedah bind_result() mengikat lajur hasil kepada pembolehubah supaya anda dapat mengaksesnya dengan selamat dalam gelung.

Ini menjadikan segala -galanya bersih dan mengelakkan pengendalian array yang tidak kemas seperti dengan panggilan mysqli_query() .

Kesilapan biasa untuk dielakkan

Terdapat beberapa perangkap yang sering dijalankan oleh orang ketika menggunakan pernyataan yang disediakan:

• Lupa untuk memeriksa sama ada prepare() pulangan palsu
• Tidak menutup pernyataan selepas digunakan
• Jenis yang tidak betul atau terlalu banyak/beberapa pembolehubah
• Menggunakan nama pemboleh ubah yang sama merentasi pelbagai hukuman mati secara tidak sengaja

Amalan yang baik adalah untuk sentiasa memeriksa nilai pulangan prepare() :

 jika (! $ stmt = $ mysqli-> menyediakan ("pilih ...")) {
    mati ("Sediakan gagal:". $ mysqli-> ralat);
}

Juga, jika anda melengkung melalui pelbagai set data, pastikan untuk menetapkan semula atau mengikat semula pembolehubah dengan betul setiap kali.

Itulah pada dasarnya bagaimana untuk bekerja dengan pernyataan yang disediakan menggunakan MySQLI. Ia lebih sedikit kod daripada kaedah sekolah lama, tetapi ia lebih selamat dan lebih mudah untuk dikekalkan dalam jangka masa panjang.

Atas ialah kandungan terperinci Cara Menggunakan Kenyataan yang Disediakan dengan Mysqli. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!