PHP MySQL Prepared 语句
预备语句对于防止 SQL 注入非常有用。
预备语句和绑定参数
预备语句是一个功能,用于高效地重复执行相同(或相似)的SQL语句。
预备语句基本上是这样工作的:
- 准备:创建 SQL 语句模板并发送到数据库。值未指定,称为参数(标记为 "
?")。例如:INSERT INTO MyGuests VALUES(?, ?, ?) - 数据库解析,编译,并对SQL语句模板执行查询优化,然后存储结果而不执行它。
- 执行:稍后,应用程序将值绑定到参数,然后数据库执行该语句。应用程序可以使用不同的值多次执行该语句。
与直接执行SQL语句相比,预备语句具有三个主要优点:
- 由于查询的准备工作仅执行一次(尽管语句执行了多次),因此预备语句减少了解析时间。
- 绑定参数最小化了到服务器的带宽,因为您每次只需要发送参数,而不是整个查询。
- 预备语句对于防止 SQL 注入非常有用,因为稍后使用不同协议传输的参数值不需要正确转义。如果原始语句模板不是从外部输入派生的,则不会发生SQL注入。
MySQLi 中的预备语句
下例在 MySQLi 中使用预备语句和绑定参数:
实例(使用预备语句的MySQLi)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn->connect_error) {
die("连接失败:" . $conn->connect_error);
}
// 准备并绑定
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// 设置参数并执行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新记录已成功创建";
$stmt->close();
$conn->close();
?>
上面的例子中需要说明的代码行:
"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"
在我们的SQL中,我们在要替换为整数,字符串,双精度或 blob 值的位置插入一个问号(?)。
然后,看一下 bind_param() 函数:
$stmt->bind_param("sss", $firstname, $lastname, $email);
此函数将参数绑定到 SQL 查询,并告诉数据库参数是什么。"sss" 参数列出了参数的数据类型。s 字符告诉 mysql 参数是一个字符串。
参数可能是以下四种类型之一:
- i - integer
- d - double
- s - string
- b - BLOB
每个参数必须是其中的类型之一。
通过告诉 mysql 要期望的数据类型,我们将 SQL 注入的风险降到最低。
注意:如果我们想从外部来源(如用户输入)插入任何数据,对数据进行清理和验证非常重要。
PDO 中的预备语句
下例在 PDO 中使用预备语句和绑定参数:
实例(使用预备语句的 PDO)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 将 PDO 错误模式设置为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 准备 sql 并绑定参数
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// 插入一行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
// 插入另一行
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
// 插入另一行
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新记录已成功创建";
} catch(PDOException $e) {
echo "错误: " . $e->getMessage();
}
$conn = null;
?>