PHP MySQL 预处理语句
预处理语句对于防止SQL注入非常有用。
预处理语句和绑定参数
预处理语句是一种用于重复执行相同(或类似)SQL语句以提高效率的功能。
预处理语句的工作原理基本上是这样的
- 准备:创建一个 SQL 语句模板并发送到数据库。某些值保持未指定,称为参数(标记为“?”)。例如:INSERT INTO MyGuests VALUES(?, ?, ?)
- 数据库解析、编译并对 SQL 语句模板执行查询优化,并将结果存储起来,但不执行它
- 执行:稍后,应用程序将值绑定到参数,然后数据库执行该语句。应用程序可以使用不同的值执行该语句任意多次
与直接执行 SQL 语句相比,预处理语句具有三个主要优点
- 预处理语句减少了解析时间,因为查询的准备工作只执行一次(即使语句执行多次)
- 绑定参数最大程度地减少了到服务器的带宽,因为每次只需要发送参数,而不需要发送整个查询
- 预处理语句对于防止 SQL 注入非常有用,因为稍后使用不同协议传输的参数值不需要正确转义。如果原始语句模板不是来自外部输入,则不会发生 SQL 注入。
MySQLi 中的预处理语句
以下示例在 MySQLi 中使用预处理语句和绑定参数
示例(使用预处理语句的 MySQLi)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn->connect_error) {
die("连接失败:" . $conn->connect_error);
}
// 准备和绑定
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// 设置参数并执行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新记录创建成功";
$stmt->close();
$conn->close();
?>
需要解释的代码行(来自上面的示例)
"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"
在我们的 SQL 中,我们在想要替换整数、字符串、双精度数或 blob 值的地方插入一个问号(?) 。
然后,看一下 bind_param() 函数
$stmt->bind_param("sss", $firstname, $lastname, $email);
此函数将参数绑定到 SQL 查询,并告诉数据库参数是什么。“sss”参数列出了参数的数据类型。字符“s”告诉 mysql 该参数是字符串。
参数可以是以下四种类型之一
- i - 整数
- d - 双精度数
- s - 字符串
- b - BLOB
每个参数都必须有一个。
通过告诉 mysql 预期的数据类型,我们最大程度地降低了 SQL 注入的风险。
注意:如果要插入任何来自外部来源的数据(例如用户输入),务必对数据进行清理和验证。
PDO 中的预处理语句
以下示例在 PDO 中使用预处理语句和绑定参数
示例(使用预处理语句的 PDO)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 将 PDO 错误模式设置为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 准备 sql 并绑定参数
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// 插入一行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
// 插入另一行
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
// 插入另一行
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新记录创建成功";
} catch(PDOException $e) {
echo "错误:" . $e->getMessage();
}
$conn = null;
?>
