SQL预处理语句

概念

预处理语句是一种特殊的数据库操作方式,先定义一个SQL语句模板,然后再填充具体的数据。

作用

防止SQL注入

  • 参数化查询:在预处理语句中,数据是通过参数传递的,而不是直接拼接到SQL语句中。这意味着即使参数中包含SQL命令,数据库也不会将其解释为SQL命令,因为数据库在预处理阶段已经确定了SQL语句的结构。

  • 自动转义:数据库接口会自动对传递的参数值进行转义,这可以防止特殊字符被解释为SQL语法的一部分。

优化代码结构

  • 编译优化:数据库可以预先编译SQL语句模板,当使用相同的模板但不同参数执行多次操作时,可以减少编译时间。

SQL语句预处理

1.连接数据库

$address = '127.0.0.1';

$lname = 'root';

$lpasswd = 'root';

initalize_con = new mysqli(address,lname,lpasswd)

2.准备SQL语句模板

使用占位符(?)代替实际写入的参数

$sql = "INSERT INTO login.login_tables(name,password)VALUE(?,?)";

3.使用mysqli对象内prepare()方法准备SQL语句

prapare():mysqli对象方法

用于准备一个SQL语句,以便后续使用。

接受一个SQL语句作为参数,返回一个mysqli_stmt对象,该对象用于后续的参数绑定和执行。

stmt = initalize_con->prepare($sql);

4.使用mysqli_stmt对象中bind_param()方法绑定参数及其类型

bind_param():mysqli_stmt对象方法

用于将PHP变量与SQL语句中的参数占位符绑定,并指定参数的数据类型。类型指定符如下:

  • s:字符串
  • i:整数
  • d:双精度浮点数

stmt-\>bind_param("ss",name,$passwd);

5.添加数据

6.运行SQL语句

execute():``mysqli_stmt对象

用于执行一个预处理的SQL语句。根据语句类型的不同,可以直接使用变量接收,或通过调用get_result()获取查询结果集。

end = stmt->execute();

7.使用get_result接收查询sql语句执行后的结果集对象

get_result():mysqli_stmt对象

获取预处理语句的执行结果,并返回一个mysqli_result对象,该对象包含了查询结果集。

对于非查询类SQL语句(如INSERTUPDATEDELETE),使用get_result()会返回false,因为这些操作不返回结果集,它们只是对数据库进行修改。

res = stmt->get_result();

8.关闭预处理和数据库连接

关闭预处理用于释放资源,避免报错,编码规范

$stmt->close();

$initalize_con->close();

相关推荐
码农阿豪1 小时前
国产化替代新篇章:金仓数据库如何实现MongoDB平滑迁移
数据库·mongodb
彦偈1 小时前
Centos7 oracle 11G 搭建ADG
数据库·oracle
言德斐8 小时前
SQL性能优化的思路及策略
数据库·sql·性能优化
码界奇点8 小时前
Django视图从基础到高级的全面解析
数据库·django·sqlite·web·python3.11
Allan_20259 小时前
数据库学习
数据库·学习
fen_fen9 小时前
人大金仓数据库kingbase8创建表示例
数据库·oracle
一勺菠萝丶9 小时前
「您的连接不是私密连接」详解:为什么 HTTPS 证书会报错,以及如何正确配置子域名证书
数据库·网络协议·https
²º²²এ松9 小时前
蓝牙低功耗(BLE)通信的中心设备/外围设备(连接角色)、主机/从机(时序角色)、客户端/服务器(数据交互角色)的理解
运维·服务器·数据库
百锦再10 小时前
Vue Scoped样式混淆问题详解与解决方案
java·前端·javascript·数据库·vue.js·学习·.net
数据库知识分享者小北10 小时前
云栖重磅|瑶池数据库:从云原生数据底座向“AI就绪”的多模态数据底座演进
数据库·人工智能·云原生