什么是預處理?
成熟的數(shù)據(jù)庫都支持預處理語句(Prepared Statements)的概念歌憨。
它們是什么東西着憨?你可以把它們想成是一種編譯過的要執(zhí)行的SQL語句模板,可以使用不同的變量參數(shù)定制它务嫡。
預處理語句具有兩個主要的優(yōu)點:
1 查詢只需要被解析(或準備)一次甲抖,但可以使用相同或不同的參數(shù)執(zhí)行多次。當查詢準備好(Prepared)之后植袍,數(shù)據(jù)庫就會分析惧眠,編譯并優(yōu)化它要執(zhí)行查詢的計劃。
對于復雜查詢來說于个,如果你要重復執(zhí)行許多次有不同參數(shù)的但結構相同的查詢氛魁,這個過程會占用大量的時間,使得你的應用變慢厅篓。
通過使用一個預處理語句你就可以避免重復分析秀存、編譯、優(yōu)化的環(huán)節(jié)羽氮。簡單來說或链,預處理語句使用更少的資源,執(zhí)行速度也就更快档押。
2 傳給預處理語句的參數(shù)不需要使用引號澳盐,底層驅動會為你處理這個。
如果你的應用獨占地使用預處理語句令宿,你就可以確信沒有SQL注入會發(fā)生叼耙。
代碼演示:
<?php
header('content-type:text/html; charset=utf-8');//實例化pdo對象$pdo = new PDO('mysql:host=127.0.0.1;port=3306;dbname=test;', 'root', '888888');//通過query函數(shù)執(zhí)行sql命令$pdo->query('set names utf8');//插入數(shù)據(jù)$sql? ? = "insert into persons (name,age) values (?, ?);";$preObj = $pdo->prepare($sql);$res? ? = $preObj->execute(array('小明', 22));var_dump($res);//刪除數(shù)據(jù)$sql = "delete from persons where id = ?";$preObj = $pdo->prepare($sql);$res? ? = $preObj->execute(array(3));var_dump($res);//修改數(shù)據(jù)$sql = "update persons set name = ? where id = ?;";$preObj = $pdo->prepare($sql);$res? ? = $preObj->execute(array('lucy', 5));var_dump($res);//查詢數(shù)據(jù)$sql = "select * from persons where age > ? order by id desc;";$preObj = $pdo->prepare($sql);$preObj->execute(array(20));$arr = $preObj->fetchAll(PDO::FETCH_ASSOC);/*
* FETCH_BOTH? ? ? 是默認的,可省粒没,返回關聯(lián)和索引筛婉。
* FETCH_ASSOC? ? 參數(shù)決定返回的只有關聯(lián)數(shù)組。
* PDO::FETCH_NUM? 返回索引數(shù)組
* PDO::FETCH_OBJ? 返回由對象組成的二維數(shù)組
*/print_r($arr);
