PHP中操做数据库的预处理语句

今天这篇文章的内容其实也是很是基础的内容，不过在现代化的开发中，你们都使用框架，已经不多人会去本身封装或者常常写底层的数据库操做代码了。因此这回咱们就来复习一下数据库中相关扩展中的预处理语句内容。

什么是预处理语句？

预处理语句，能够把它看做是想要运行的 SQL 语句的一种编译过的模板，它可使用变量参数进行控制。预处理语句能够带来两大好处：

• 查询仅需解析（或预处理）一次，但能够用相同或不一样的参数执行屡次。当查询准备好后，数据库将分析、编译和优化执行该查询的计划。对于复杂的查询，此过程要花费较长的时间，若是须要以不一样参数屡次重复相同的查询，那么该过程将大大下降应用程序的速度。经过使用预处理语句，能够避免重复分析/编译/优化周期。简言之，预处理语句占用更少的资源，于是运行得更快。
• 提供给预处理语句的参数不须要用引号括起来，驱动程序会自动处理。若是应用程序只使用预处理语句，能够确保不会发生SQL 注入。（然而，若是查询的其余部分是由未转义的输入来构建的，则仍存在 SQL 注入的风险）。

上述内容是摘自官方文档的说明，但其实预处理语句带给咱们最直观的好处就是可以有效地预防 SQL 注入。关于 SQL 注入的内容咱们未来在学习 MySQL 的时候再进行深刻的学习，这里就不过多地介绍了，反正预处理语句就是能够完成这项工做就行了。

PDO 操做预处理语句

在 PHP 的扩展中，PDO 已是主流的核心数据库扩展库，天然它对预处理语句的支持也是很是全面的。

$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', '');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// :xxx 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->bindParam(':salt', $salt);

$username = 'one';
$password = '123123';
$salt = 'aaa';
$stmt->execute();

$username = 'two';
$password = '123123';
$salt = 'bbb';
$stmt->execute();

在代码中，咱们使用 prepare() 方法定义预处理语句，这个方法会返回一个 PDOStatement 对象。在预处理的语句内使用 :xxx 这样的占位符号，并在外部使用 PDOStatement 对象的 bindParam() 方法为这些占位符绑定上变量。最后经过 execute() 来真正地执行 SQL 语句。

从这段代码中，咱们就能够看到预处理语句的两大优点的体现。首先是占位符，使用占位符以后，咱们就不用在 SQL 语句中去写单引号，单引号每每就是 SQL 注入的主要漏洞来源。bindParam() 方法会自动地转换绑定数据的类型。固然，bindParam() 方法也能够在可选的参数中指定绑定的数据类型，这样就能让咱们的代码更加安全了，你们能够查阅相关的文档。

另外一个优点就是模板的能力，咱们只定义了一个 PDOStatement 对象，而后经过改变数据的内容，就能够屡次地使用 execute() 方法去执行预处理语句。

占位符还有另外一种写法，就是使用一个问号来做为占位符号，在这种状况下，bindParam() 方法的键名就要使用数字下标了。这里须要注意的是，数字下标是从 1 开始的。

// ? 占位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)");
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);

$username = 'three';
$password = '123123';
$salt = 'ccc';
$stmt->execute();

在咱们的查询中，也是能够方便地使用预处理语句的功能进行数据查询的。在这里，咱们直接使用 execute() 来为占位符传递参数。

// 查询获取数据
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

$stmt->execute(['username'=>'one']);

while($row = $stmt->fetch()){
    print_r($row);
}

mysqli 操做预处理语句

虽然说主流是 PDO ，并且大部分框架中使用的也是 PDO ，但咱们在写脚本，或者须要快速地测试一些功能的时候，仍是会使用 mysqli 来快速地开发。固然，mysqli 也是支持预处理语句相关功能的。

// mysqli 预处理
$conn = new mysqli('127.0.0.1', 'root', '', 'blog_test');
$username = 'one';
$stmt = $conn->prepare("select username from zyblog_test_user where username = ?");
$stmt->bind_param("s", $username);

$stmt->execute();

echo $stmt->bind_result($unames);

var_dump($unames);

while ($stmt->fetch()) {
    printf("%s\n", $unames);
}

能够看出，mysqli 除了方法名不一样以外，绑定参数的键名也不彻底的相同，这里咱们使用的是问号占位，在 bind_param() 方法中，是使用 s 来表示符号位置，若是是多个参数，就要写成 sss... 这样。

总结

预处理语句的能力在如今的框架中都已经帮咱们封装好了，其实咱们并不须要太关心，就像 Laravel 中使用 DB::select() 进行数据库操做时，咱们就能够看到预处理语句的应用。
你们能够自行查阅 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法。

测试代码：

https://github.com/zhangyue0503/dev-blog/blob/master/php/202008/source/PHP%E4%B8%AD%E6%93%8D%E4%BD%9C%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E9%A2%84%E5%A4%84%E7%90%86%E8%AF%AD%E5%8F%A5.php

参考文档：

https://www.php.net/manual/zh/pdo.prepared-statements.php

===========

各自媒体平台都可搜索【硬核项目经理】