PHP?MySQL 預(yù)處理語(yǔ)句

預(yù)處理語(yǔ)句對(duì)於防止 MySQL 注入是非常有用的。

預(yù)處理語(yǔ)句及綁定參數(shù)

預(yù)處理語(yǔ)句用於執(zhí)行多個(gè)相同的 SQL 語(yǔ)句，並且執(zhí)行效率更高。

預(yù)處理語(yǔ)句的工作原理如下：

1.???? 預(yù)處理：建立 SQL 語(yǔ)句範(fàn)本並傳送到資料庫(kù)。預(yù)留的值使用參數(shù) "?" 標(biāo)記 。例如：

2.? INSERT

?? INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)

3.???? 資料庫(kù)解析，編譯，對(duì)SQL語(yǔ)句模板執(zhí)行查詢最佳化，並儲(chǔ)存結(jié)果不輸出。

4.???? 執(zhí)行：最後，將套用綁定的值傳遞給參數(shù)（"?" 標(biāo)記），資料庫(kù)執(zhí)行語(yǔ)句。應(yīng)用可以多次執(zhí)行語(yǔ)句，如果參數(shù)的值不一樣。

比起直接執(zhí)行SQL語(yǔ)句，預(yù)處理語(yǔ)句有兩個(gè)主要優(yōu)點(diǎn)：

·???????? 預(yù)處理語(yǔ)句大幅減少了分析時(shí)間，而只做了一次查詢（雖然語(yǔ)句多次執(zhí)行）。

·???????? 綁定參數(shù)減少了伺服器頻寬，你只需要傳送查詢的參數(shù)，而不是整個(gè)語(yǔ)句。

·???????? 預(yù)處理語(yǔ)句針對(duì)SQL注入是非常有用的，因?yàn)閰?shù)值發(fā)送後使用不同的協(xié)議，保證了資料的合法性。

MySQLi 預(yù)處理語(yǔ)句

下列實(shí)例在MySQLi 中使用了預(yù)處理語(yǔ)句，並綁定了對(duì)應(yīng)的參數(shù):

#實(shí)例(MySQLi 使用預(yù)處理語(yǔ)句)

<?php
 $servername = "localhost";
 $username = "username";
 $password = "password";
 $dbname = "myDB";
 
 // 創(chuàng)建連接
 $conn = new mysqli($servername, $username, $password, $dbname);
 
 // 檢測(cè)連接
 if ($conn->connect_error) {
     die("連接失敗: " . $conn->connect_error);
 }
 
 // 預(yù)處理及綁定
 $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)");
 $stmt->bind_param("sss", $firstname, $lastname, $email);
 
 // 設(shè)置參數(shù)并執(zhí)行
 $firstname = "John";
 $lastname = "Doe";
 $email = "john@example.com";
 $stmt->execute();
 
 $firstname = "Mary";
 $lastname = "Moe";
 $email = "mary@example.com";
 $stmt->execute();
 
 $firstname = "Julie";
 $lastname = "Dooley";
 $email = "julie@example.com";
 $stmt->execute();
 
 echo "新記錄插入成功";
 
 $stmt->close();
 $conn->close();
 ?>

?解析下列實(shí)例的每行程式碼:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"

在SQL 語(yǔ)句中，我們使用了問(wèn)號(hào)(?)，在此我們可以將問(wèn)號(hào)替換為整數(shù)型，字串，雙精確度浮點(diǎn)型和布林值。

接下來(lái)，讓我們來(lái)看下bind_param() 函數(shù)：

$stmt->bind_param("sss", $firstname, $lastname, $email);

此函數(shù)綁定了SQL 的參數(shù)，並告訴資料庫(kù)參數(shù)的值。 "sss" 參數(shù)列處理其餘參數(shù)的資料型態(tài)。 s 字元告訴資料庫(kù)此參數(shù)為字串。

參數(shù)有以下四種類型:

·???????? i - integer（整型）

·???????? d - double（雙精度浮點(diǎn)型）

·???????? s - string（字串）

#·???????? b - BLOB（binary large object:二進(jìn)位大物件）

#每個(gè)參數(shù)都需要指定型別。

透過(guò)告訴資料庫(kù)參數(shù)的資料類型，可以降低 SQL 注入的風(fēng)險(xiǎn)。

注意：?如果你想插入其他資料（使用者輸入），資料的驗(yàn)證是非常重要的。

PDO 中的預(yù)處理語(yǔ)句

以下實(shí)例我們?cè)?PDO 中使用了預(yù)處理語(yǔ)句並綁定參數(shù):

實(shí)例 (PDO 使用預(yù)處理語(yǔ)句)

<?php
 $servername = "localhost";
 $username = "username";
 $password = "password";
 $dbname = "myDBPDO";
 try {
     $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
     // 設(shè)置 PDO 錯(cuò)誤模式為異常
     $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
 
     // 預(yù)處理 SQL 并綁定參數(shù)
     $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) 
     VALUES (:firstname, :lastname, :email)");
     $stmt->bindParam(':firstname', $firstname);
     $stmt->bindParam(':lastname', $lastname);
     $stmt->bindParam(':email', $email);
     // 插入行
     $firstname = "John";
     $lastname = "Doe";
     $email = "john@example.com";
     $stmt->execute();
     // 插入其他行
     $firstname = "Mary";
     $lastname = "Moe";
     $email = "mary@example.com";
     $stmt->execute();
     // 插入其他行
     $firstname = "Julie";
     $lastname = "Dooley";
     $email = "julie@example.com";
     $stmt->execute();
     echo "新記錄插入成功";
 }
 catch(PDOException $e)
 {
     echo $sql . "<br>" . $e->getMessage();
 }
 $conn = null;
 ?>