PHP MySQL 预处理语句
预处理语句对于防止 SQL 注入非常有用。
预处理语句和绑定参数
预处理语句是一项用于高效地重复执行相同(或相似)SQL 语句的功能。
预处理语句的基本工作原理如下:
- 准备:创建一个 SQL 语句模板并将其发送到数据库。某些值留空,称为参数(用 "?" 标记)。例如:INSERT INTO MyGuests VALUES(?, ?, ?)
- 数据库会解析、编译 SQL 语句模板,并进行查询优化,然后存储结果而不执行它。
- 执行:稍后,应用程序将值绑定到参数,然后数据库执行该语句。应用程序可以根据需要多次以不同值执行该语句。
与直接执行 SQL 语句相比,预处理语句有三个主要优点:
- 预处理语句减少了解析时间,因为查询只准备一次(尽管语句会执行多次)。
- 绑定参数可以最大限度地减少到服务器的带宽,因为每次只需要发送参数,而不是整个查询。
- 预处理语句对于防止 SQL 注入非常有用,因为稍后通过不同协议传输的参数值不需要正确转义。如果原始语句模板不是从外部输入派生的,则不会发生 SQL 注入。
MySQLi 中的预处理语句
以下示例在 MySQLi 中使用了预处理语句和绑定参数。
示例(MySQLi 结合预处理语句)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
// 准备并绑定
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// 设置参数并执行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新记录创建成功";
$stmt->close();
$conn->close();
?>
解释以上示例的代码行:
"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"
在我们的 SQL 中,我们在想要替换整数、字符串、双精度数或 blob 值的位置插入一个问号 (?)。
然后,查看 bind_param() 函数:
$stmt->bind_param("sss", $firstname, $lastname, $email);
此函数将参数绑定到 SQL 查询,并告诉数据库参数是什么。"sss" 参数列出了参数的数据类型。s 字符告诉 mysql 该参数是字符串。
参数可以是四种类型之一:
- i - 整数
- d - 双精度数
- s - 字符串
- b - BLOB
每个参数都必须是其中一种类型。
通过告知 mysql 期望的数据类型,我们最大限度地降低了 SQL 注入的风险。
注意:如果我们要插入任何来自外部来源(如用户输入)的数据,对数据进行清理和验证非常重要。
PDO 中的预处理语句
以下示例在 PDO 中使用了预处理语句和绑定参数。
示例(PDO 结合预处理语句)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 将 PDO 错误模式设置为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 准备 SQL 并绑定参数
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// 插入一行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
// 插入另一行
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
// 插入另一行
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新记录创建成功";
} catch(PDOException $e) {
echo "错误: " . $e->getMessage();
}
$conn = null;
?>