什么是預(yù)處理語(yǔ)句提前?可以把它看作是想要運(yùn)行的 SQL 的一種編譯過的模板崇渗,它可以使用變量參數(shù)進(jìn)行定制。
預(yù)處理語(yǔ)句可以帶來(lái)兩大好處:
查詢僅需解析(或預(yù)處理)一次急前,但可以用相同或不同的參數(shù)執(zhí)行多次醒陆。當(dāng)查詢準(zhǔn)備好后,數(shù)據(jù)庫(kù)將分析裆针、編譯和優(yōu)化執(zhí)行該查詢的計(jì)劃刨摩。對(duì)于復(fù)雜的查詢,此過程要花費(fèi)較長(zhǎng)的時(shí)間世吨,如果需要以不同參數(shù)多次重復(fù)相同的查詢澡刹,那么該過程將大大降低應(yīng)用程序的速度。通過使用預(yù)處理語(yǔ)句另假,可以避免重復(fù)分析/編譯/優(yōu)化周期像屋。簡(jiǎn)言之,預(yù)處理語(yǔ)句占用更少的資源边篮,因而運(yùn)行得更快己莺。
提供給預(yù)處理語(yǔ)句的參數(shù)不需要用引號(hào)括起來(lái),驅(qū)動(dòng)程序會(huì)自動(dòng)處理戈轿。如果應(yīng)用程序只使用預(yù)處理語(yǔ)句凌受,可以確保不會(huì)發(fā)生SQL 注入。(然而思杯,如果查詢的其他部分是由未轉(zhuǎn)義的輸入來(lái)構(gòu)建的胜蛉,則仍存在 SQL 注入的風(fēng)險(xiǎn))挠进。
預(yù)處理語(yǔ)句如此有用,以至于它們唯一的特性是在驅(qū)動(dòng)程序不支持的時(shí)PDO 將模擬處理誊册。這樣可以確保不管數(shù)據(jù)庫(kù)是否具有這樣的功能领突,都可以確保應(yīng)用程序可以用相同的數(shù)據(jù)訪問模式。
用預(yù)處理語(yǔ)句進(jìn)行重復(fù)插入
下面例子通過用 name 和 value 替代相應(yīng)的命名占位符來(lái)執(zhí)行一個(gè)插入查詢
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); // 連接數(shù)據(jù)庫(kù)
// 設(shè)置 PDO 錯(cuò)誤模式為異常
//$conn->setAttribute(參數(shù)名案怯,參數(shù)值);
/**
PDO::ATTR_ERRMODE(參數(shù)值如下):
PDO::ERRMODE_SILENT
此為默認(rèn)模式君旦。 PDO 將只簡(jiǎn)單地設(shè)置錯(cuò)誤碼,
可使用 PDO::errorCode() 和 PDO::errorInfo() 方法來(lái)檢查語(yǔ)句和數(shù)據(jù)庫(kù)對(duì)象嘲碱。
如果錯(cuò)誤是由于對(duì)語(yǔ)句對(duì)象的調(diào)用而產(chǎn)生的金砍,
那么可以調(diào)用那個(gè)對(duì)象的 PDOStatement::errorCode() 或
PDOStatement::errorInfo() 方法。
如果錯(cuò)誤是由于調(diào)用數(shù)據(jù)庫(kù)對(duì)象而產(chǎn)生的麦锯,
那么可以在數(shù)據(jù)庫(kù)對(duì)象上調(diào)用上述兩個(gè)方法恕稠。
PDO::ERRMODE_WARNING
除設(shè)置錯(cuò)誤碼之外,PDO 還將發(fā)出一條傳統(tǒng)的 E_WARNING 信息扶欣。
如果只是想看看發(fā)生了什么問題且不中斷應(yīng)用程序的流程鹅巍,
那么此設(shè)置在調(diào)試/測(cè)試期間非常有用。
PDO::ERRMODE_EXCEPTION
除設(shè)置錯(cuò)誤碼之外料祠,PDO 還將拋出一個(gè) PDOException 異常類并設(shè)置它的屬
性來(lái)反射錯(cuò)誤碼和錯(cuò)誤信息昆著。
此設(shè)置在調(diào)試期間也非常有用,因?yàn)樗鼤?huì)有效地放大腳本中產(chǎn)生錯(cuò)誤的點(diǎn)术陶,
從而可以非常快速地指出代碼中有問題的潛在區(qū)域
(記酌汉邸:如果異常導(dǎo)致腳本終止梧宫,則事務(wù)被自動(dòng)回滾)。
異常模式另一個(gè)非常有用的是塘匣,相比傳統(tǒng) PHP 風(fēng)格的警告,
可以更清晰地構(gòu)建自己的錯(cuò)誤處理巷帝,
而且比起靜默模式和顯式地檢查每種數(shù)據(jù)庫(kù)調(diào)用的返回值忌卤,
異常模式需要的代碼/嵌套更少。
**/
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 預(yù)處理 SQL 并綁定參數(shù)
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)"); /**準(zhǔn)備要執(zhí)行的SQL
語(yǔ)句并返回一個(gè) PDOStatement 對(duì)象,
返回此對(duì)象以后楞泼,該對(duì)象里才會(huì)包括下面執(zhí)行一條預(yù)處理語(yǔ)句的方法$stmt->execute()
**/
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// 插入行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute(); // 執(zhí)行一條預(yù)處理語(yǔ)句
// 插入其他行
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
// 插入其他行
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新記錄插入成功";
}
catch(PDOException $e)
{
echo "Error: " . $e->getMessage();
}
$conn = null;
?>
補(bǔ)充一個(gè)知識(shí)點(diǎn):
mySql使用模糊查詢 like 后面有變量和占位符一起使用時(shí)怎么辦
三種方法:
//第一種方法:
$sql="SELECT * FROM table1 WHERE name LIKE '%$var%'"; // %表示占位符驰徊,也就是不確定查詢的前后字符是什么時(shí)使用
//第三種方法:
$sql="SELECT * FROM table1 WHERE name LIKE '%" . $var . "%'";
//第三種方法:
$sql="SELECT * FROM table1 WHERE name LIKE '%{$var}%'";
