PHP MySQL 准备语句

准备好的语句对于防范 SQL 注入非常有用。

准备好的语句和绑定参数

预准备语句是一种用于高效重复执行相同（或相似）SQL 语句的功能。

准备好的语句基本上是这样工作的：

准备：创建 SQL 语句模板并将其发送到数据库。某些值未指定，称为参数（标记为 "?"）。示例：INSERT INTO MyGuests VALUES(?, ?, ?)
数据库对SQL语句模板进行解析、编译、查询优化，并存储结果而不执行
执行：稍后，应用程序将值绑定到参数，数据库执行该语句。应用程序可以使用不同的值多次执行该语句

与直接执行 SQL 语句相比，准备好的语句具有三个主要优点：

准备好的语句减少了解析时间，因为查询的准备工作只完成一次（尽管该语句被执行多次）
绑定参数最大限度地减少服务器的带宽，因为您每次只需要发送参数，而不是整个查询
准备好的语句对于防范 SQL 注入非常有用，因为稍后使用不同协议传输的参数值不需要正确转义。如果原始语句模板不是从外部输入派生的，则不会发生 SQL 注入。

MySQLi 中的准备语句

以下示例在 MySQLi 中使用准备好的语句和绑定参数：

示例（带有预准备语句的 MySQLi）

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);

// Check connection
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}

// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);

// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();

$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();

echo "New records created successfully";

$stmt->close();
$conn->close();
?>

从上面的例子中解释的代码行：

"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"

在 SQL 中，我们在要替换整数、字符串、双精度或 blob 值的位置插入问号 (?)。

然后，看一下bind_param()函数：

$stmt->bind_param("sss", $firstname, $lastname, $email);

该函数将参数绑定到 SQL 查询并告诉数据库参数是什么。 "sss" 参数列出了参数的数据类型。 s字符告诉mysql该参数是一个字符串。

该参数可以是以下四种类型之一：

i - 整数
d——双
s - 字符串
b-BLOB

对于每个参数，我们都必须有其中一个。

通过告诉 mysql 需要什么类型的数据，我们可以最大限度地降低 SQL 注入的风险。

笔记：如果我们想要插入来自外部源的任何数据（例如用户输入），那么对数据进行清理和验证非常重要。

PDO 中的准备语句

以下示例在 PDO 中使用准备好的语句和绑定参数：

示例（带有准备好的语句的 PDO）

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";

try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// set the PDO error mode to exception
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// prepare sql and bind parameters
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);

  // insert a row
  $firstname = "John";
  $lastname = "Doe";
  $email = "john@example.com";
$stmt->execute();

  // insert another row
  $firstname = "Mary";
  $lastname = "Moe";
  $email = "mary@example.com";
$stmt->execute();

// insert another row
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();

echo "New records created successfully";
} catch(PDOException $e) {
echo "Error: " . $e->getMessage();
}
$conn = null;
?>