一、预处理
1.成熟的数据库都支持预处理语句(Prepared Statements)的概念。
2.预处理是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。
3.预处理语句具有两个主要的优点:
- 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。
- 对于复杂查询来说,如果要重复执行许多次有不同参数的但结构相同的查询,这个过程会占用大量的时间,使得应用变慢。通过使用一个预处理语句就可以避免重复分析、编译、优化的环节。简单来说,预处理语句使用更少的资源,执行速度也就更快。
4.传给预处理语句的参数不需要使用引号,底层驱动会处理这个。
5.如果应用独占地使用预处理语句,就可以确信没有SQL注入会发生。
代码演示:
1 <?php 2 header('content-type:text/html; charset=utf-8'); 3 //实例化pdo对象 4 $pdo = new PDO('mysql:host=127.0.0.1;port=3306;dbname=test;', 'root', '888888'); 5 //通过query函数执行sql命令 6 $pdo->query('set names utf8'); 7 8 //插入数据 9 $sql = "insert into persons (name,age) values (?, ?);"; 10 $preObj = $pdo->prepare($sql); 11 $res = $preObj->execute(array('小明', 22)); 12 var_dump($res); 13 14 //删除数据 15 $sql = "delete from persons where id = ?"; 16 $preObj = $pdo->prepare($sql); 17 $res = $preObj->execute(array(3)); 18 var_dump($res); 19 20 //修改数据 21 $sql = "update persons set name = ? where id = ?;"; 22 $preObj = $pdo->prepare($sql); 23 $res = $preObj->execute(array('lucy', 5)); 24 var_dump($res); 25 //查询数据 26 $sql = "select * from persons where age > ? order by id desc;"; 27 $preObj = $pdo->prepare($sql); 28 $preObj->execute(array(20)); 29 $arr = $preObj->fetchAll(PDO::FETCH_ASSOC); 30 /* 31 * FETCH_BOTH 是默认的,可省,返回关联和索引。 32 * FETCH_ASSOC 参数决定返回的只有关联数组。 33 * PDO::FETCH_NUM 返回索引数组 34 * PDO::FETCH_OBJ 返回由对象组成的二维数组 35 */ 36 print_r($arr); 37 ?>
二、可以使用多种方式实现预处理:指的是在绑定数据进行执行的时候,可以有多种方式