php数据库预处理语 php数据库操作

php 普通sql语句，处理成预处理语句

PHP MySQL 预处理语句

创新互联专业成都网站设计、成都做网站，集网站策划、网站设计、网站制作于一体，网站seo、网站优化、网站营销、软文营销等专业人才根据搜索规律编程设计，让网站在运行后，在搜索中有好的表现，专业设计制作为您带来效益的网站！让网站建设为您创造效益。

预处理语句对于防止 MySQL 注入是非常有用的。

预处理语句及绑定参数

预处理语句用于执行多个相同的 SQL 语句，并且执行效率更高。

预处理语句的工作原理如下：

预处理：创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如：

INSERT

INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)

数据库解析，编译，对SQL语句模板执行查询优化，并存储结果不输出。

执行：最后，将应用绑定的值传递给参数（"?" 标记），数据库执行语句。应用可以多次执行语句，如果参数的值不一样。

相比于直接执行SQL语句，预处理语句有两个主要优点：

预处理语句大大减少了分析时间，只做了一次查询（虽然语句多次执行）。

绑定参数减少了服务器带宽，你只需要发送查询的参数，而不是整个语句。

预处理语句针对SQL注入是非常有用的，因为参数值发送后使用不同的协议，保证了数据的合法性。

MySQLi 预处理语句

以下实例在 MySQLi 中使用了预处理语句，并绑定了相应的参数:

实例 (MySQLi 使用预处理语句)

?php

$servername = "localhost";

$username = "username";

$password = "password";

$dbname = "myDB";

// 创建连接

$conn = new mysqli($servername, $username, $password, $dbname);

// 检测连接

if ($conn-connect_error) {

die("连接失败: " . $conn-connect_error);

}

// 预处理及绑定

$stmt = $conn-prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)");

$stmt-bind_param("sss", $firstname, $lastname, $email);

// 设置参数并执行

$firstname = "John";

$lastname = "Doe";

$email = "john@example.com";

$stmt-execute();

$firstname = "Mary";

$lastname = "Moe";

$email = "mary@example.com";

$stmt-execute();

$firstname = "Julie";

$lastname = "Dooley";

$email = "julie@example.com";

$stmt-execute();

echo "新记录插入成功";

$stmt-close();

$conn-close();

?

解析以下实例的每行代码:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"

在 SQL 语句中，我们使用了问号 (?)，在此我们可以将问号替换为整型，字符串，双精度浮点型和布尔值。

接下来，让我们来看下 bind_param() 函数：

$stmt-bind_param("sss", $firstname, $lastname, $email);

该函数绑定了 SQL 的参数，且告诉数据库参数的值。 "sss" 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字符串。

参数有以下四种类型:

i - integer（整型）

d - double（双精度浮点型）

s - string（字符串）

b - BLOB（binary large object:二进制大对象）

每个参数都需要指定类型。

通过告诉数据库参数的数据类型，可以降低 SQL 注入的风险。

注意： 如果你想插入其他数据（用户输入），对数据的验证是非常重要的。

PDO 中的预处理语句

以下实例我们在 PDO 中使用了预处理语句并绑定参数:

实例 (PDO 使用预处理语句)

?php

$servername = "localhost";

$username = "username";

$password = "password";

$dbname = "myDBPDO";

try {

$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);

// 设置 PDO 错误模式为异常

$conn-setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// 预处理 SQL 并绑定参数

$stmt = $conn-prepare("INSERT INTO MyGuests (firstname, lastname, email)

VALUES (:firstname, :lastname, :email)");

$stmt-bindParam(':firstname', $firstname);

$stmt-bindParam(':lastname', $lastname);

$stmt-bindParam(':email', $email);

// 插入行

$firstname = "John";

$lastname = "Doe";

$email = "john@example.com";

$stmt-execute();

// 插入其他行

$firstname = "Mary";

$lastname = "Moe";

$email = "mary@example.com";

$stmt-execute();

// 插入其他行

$firstname = "Julie";

$lastname = "Dooley";

$email = "julie@example.com";

$stmt-execute();

echo "新记录插入成功";

}

catch(PDOException $e)

{

echo $sql . "br" . $e-getMessage();

}

$conn = null;

?

php预处理执行为什么

预处理语句与存储过程 ：

很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句？可以把它看作是想要运行的 SQL 的一种编译过的模板，它可以使用变量参数进行定制。预处理语句可以带来两大好处：

查询仅需解析（或预处理）一次，但可以用相同或不同的参数执行多次。当查询准备好后，数据库将分析、编译和优化执行该查询的计划。对于复杂的查询，此过程要花费较长的时间，如果需要以不同参数多次重复相同的查询，那么该过程将大大降低应用程序的速度。通过使用预处理语句，可以避免重复分析/编译/优化周期。简言之，预处理语句占用更少的资源，因而运行得更快。

提供给预处理语句的参数不需要用引号括起来，驱动程序会自动处理。如果应用程序只使用预处理语句，可以确保不会发生SQL 注入。（然而，如果查询的其他部分是由未转义的输入来构建的，则仍存在 SQL 注入的风险）。

预处理语句如此有用，以至于它们唯一的特性是在驱动程序不支持的时PDO 将模拟处理。这样可以确保不管数据库是否具有这样的功能，都可以确保应用程序可以用相同的数据访问模式。

Example #1 用预处理语句进行重复插入

下面例子通过用 name 和 value 替代相应的命名占位符来执行一个插入查询

?php

$stmt = $dbh-prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");

$stmt-bindParam(':name', $name);

$stmt-bindParam(':value', $value);

// 插入一行

$name = 'one';

$value = 1;

$stmt-execute();

//  用不同的值插入另一行

$name = 'two';

$value = 2;

$stmt-execute();

?

Example #2 用预处理语句进行重复插入

下面例子通过用 name 和 value 取代 ? 占位符的位置来执行一条插入查询。

?php

$stmt = $dbh-prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");

$stmt-bindParam(1, $name);

$stmt-bindParam(2, $value);

// 插入一行

$name = 'one';

$value = 1;

$stmt-execute();

// 用不同的值插入另一行

$name = 'two';

$value = 2;

$stmt-execute();

?

Example #3 使用预处理语句获取数据

下面例子获取数据基于键值已提供的形式。用户的输入被自动用引号括起来，因此不会有 SQL 注入攻击的危险。

?php

$stmt = $dbh-prepare("SELECT * FROM REGISTRY where name = ?");

if ($stmt-execute(array($_GET['name']))) {

while ($row = $stmt-fetch()) {

print_r($row);

}

}

?

如果数据库驱动支持，应用程序还可以绑定输出和输入参数.输出参数通常用于从存储过程获取值。输出参数使用起来比输入参数要稍微复杂一些，因为当绑定一个输出参数时，必须知道给定参数的长度。如果为参数绑定的值大于建议的长度，就会产生一个错误。

Example #4 带输出参数调用存储过程

?php

$stmt = $dbh-prepare("CALL sp_returns_string(?)");

$stmt-bindParam(1, $return_value, PDO::PARAM_STR, 4000); 

// 调用存储过程

$stmt-execute();

print "procedure returned $return_value\n";

?

还可以指定同时具有输入和输出值的参数，其语法类似于输出参数。在下一个例子中，字符串“hello”被传递给存储过程，当存储过程返回时，hello 被替换为该存储过程返回的值。

Example #5 带输入/输出参数调用存储过程

?php

$stmt = $dbh-prepare("CALL sp_takes_string_returns_string(?)");

$value = 'hello';

$stmt-bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000); 

// 调用存储过程

$stmt-execute();

print "procedure returned $value\n";

?

Example #6 占位符的无效使用

?php

$stmt = $dbh-prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");

$stmt-execute(array($_GET['name']));

// 占位符必须被用在整个值的位置

$stmt = $dbh-prepare("SELECT * FROM REGISTRY where name LIKE ?");

$stmt-execute(array("%$_GET[name]%"));

?

php 预处理命令

试下这代码 把参数改成你自己的

?php

include("conn1.php");

$count=mysql_query("select count(*) from uu where u_user='$_POST[uuser]' AND u_pass='$_POST[upass]'"); //获得记录总数

$rs=mysql_fetch_array($count);

$totalNumber=$rs[0];

if ($totalNumber0) {

session_start();

$_SESSION["user1"]=$_POST[uuser];

echo "登陆成功！！3s后跳转主页";

header("Refresh:3;url=index.php");

}else{

echo "登陆失败！！账号密码错误或账号不存在、3s后返回登陆页";

header("Refresh:3;url=denglu.php");

}

?

conn1.php是 连接数据库 的文件