• <blockquote id="opgzb"><th id="opgzb"></th></blockquote>
  • <track id="opgzb"></track>
      <table id="opgzb"></table>
    1. <optgroup id="opgzb"><menu id="opgzb"><pre id="opgzb"></pre></menu></optgroup>

              PHP8 PDO預處理語句與存儲過程

              2024-03-22 09:27 更新

              很多更成熟的數據庫都支持預處理語句的概念。什么是預處理語句?可以把它看作是想要運行的 SQL 的一種編譯過的模板,它可以使用變量參數進行定制。預處理語句可以帶來兩大好處:

              • 查詢僅需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢準備好后,數據庫將分析、編譯和優化執行該查詢的計劃。對于復雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重復相同的查詢,那么該過程將大大降低應用程序的速度。通過使用預處理語句,可以避免重復分析/編譯/優化周期。簡言之,預處理語句占用更少的資源,因而運行得更快。
              • 提供給預處理語句的參數不需要用引號括起來,驅動程序會自動處理。如果應用程序只使用預處理語句,可以確保不會發生SQL 注入。(然而,如果查詢的其他部分是由未轉義的輸入來構建的,則仍存在 SQL 注入的風險)。

              預處理語句如此有用,以至于它們唯一的特性是在驅動程序不支持的時PDO 將模擬處理。這樣可以確保不管數據庫是否具有這樣的功能,都可以確保應用程序可以用相同的數據訪問模式。

              示例 #1 用預處理語句進行重復插入

              下面例子通過用 name 和 value 替代相應的命名占位符來執行一個插入查詢

              <?php
              $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
              $stmt->bindParam(':name', $name);
              $stmt->bindParam(':value', $value);
              
              // 插入一行
              $name = 'one';
              $value = 1;
              $stmt->execute();
              
              //  用不同的值插入另一行
              $name = 'two';
              $value = 2;
              $stmt->execute();
              ?>

              示例 #2 用預處理語句進行重復插入

              下面例子通過用 name 和 value 取代 ? 占位符的位置來執行一條插入查詢。

              <?php
              $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
              $stmt->bindParam(1, $name);
              $stmt->bindParam(2, $value);
              
              // 插入一行
              $name = 'one';
              $value = 1;
              $stmt->execute();
              
              // 用不同的值插入另一行
              $name = 'two';
              $value = 2;
              $stmt->execute();
              ?>

              示例 #3 使用預處理語句獲取數據

              下面例子獲取數據基于鍵值已提供的形式。用戶的輸入被自動用引號括起來,因此不會有 SQL 注入攻擊的危險。

              <?php
              $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
              $stmt->execute([$_GET['name']]);
              foreach ($stmt as $row) {
                print_r($row);
              }
              ?>

              示例 #4 Calling a stored procedure with an output parameter

              如果數據庫驅動支持,應用程序還可以綁定輸出和輸入參數。 輸出參數通常用于從存儲過程獲取值。 輸出參數使用起來比輸入參數要稍微復雜一些,因為當綁定一個輸出參數時,必須知道給定參數的長度。 如果為參數綁定的值大于建議的長度,就會產生一個錯誤。

              <?php
              $stmt = $dbh->prepare("CALL sp_returns_string(?)");
              $stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); 
              
              // 調用存儲過程
              $stmt->execute();
              
              print "procedure returned $return_value\n";
              ?>

              示例 #5 帶輸入/輸出參數調用存儲過程

              還可以指定同時具有輸入和輸出值的參數,其語法類似于輸出參數。 在下一個例子中,字符串“hello”被傳遞給存儲過程, 當存儲過程返回時,hello 被替換為該存儲過程返回的值。

              <?php
              $stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");
              $value = 'hello';
              $stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000); 
              
              // 調用存儲過程
              $stmt->execute();
              
              print "procedure returned $value\n";
              ?>

              示例 #6 占位符的無效使用

              <?php
              $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
              $stmt->execute([$_GET['name']]);
              
              // 占位符必須被用在整個值的位置
              $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
              $stmt->execute(["%$_GET[name]%"]);
              ?>


              以上內容是否對您有幫助:
              在線筆記
              App下載
              App下載

              掃描二維碼

              下載編程獅App

              公眾號
              微信公眾號

              編程獅公眾號

              99在线精品国自产拍不卡_国产 日产 欧美最新_久久综合网丁香五月_嘟嘟韩剧网_卫生间开车视频疼痛有声音