PHP中操做數據庫的預處理語句

今天這篇文章的內容其實也是很是基礎的內容，不過在現代化的開發中，你們都使用框架，已經不多人會去本身封裝或者常常寫底層的數據庫操做代碼了。因此這回咱們就來複習一下數據庫中相關擴展中的預處理語句內容。

什麼是預處理語句？

預處理語句，能夠把它看做是想要運行的 SQL 語句的一種編譯過的模板，它可使用變量參數進行控制。預處理語句能夠帶來兩大好處：

• 查詢僅需解析（或預處理）一次，但能夠用相同或不一樣的參數執行屢次。當查詢準備好後，數據庫將分析、編譯和優化執行該查詢的計劃。對於複雜的查詢，此過程要花費較長的時間，若是須要以不一樣參數屢次重複相同的查詢，那麼該過程將大大下降應用程序的速度。經過使用預處理語句，能夠避免重複分析/編譯/優化週期。簡言之，預處理語句佔用更少的資源，於是運行得更快。
• 提供給預處理語句的參數不須要用引號括起來，驅動程序會自動處理。若是應用程序只使用預處理語句，能夠確保不會發生SQL 注入。（然而，若是查詢的其餘部分是由未轉義的輸入來構建的，則仍存在 SQL 注入的風險）。

上述內容是摘自官方文檔的說明，但其實預處理語句帶給咱們最直觀的好處就是可以有效地預防 SQL 注入。關於 SQL 注入的內容咱們未來在學習 MySQL 的時候再進行深刻的學習，這裏就不過多地介紹了，反正預處理語句就是能夠完成這項工做就行了。

PDO 操做預處理語句

在 PHP 的擴展中，PDO 已是主流的核心數據庫擴展庫，天然它對預處理語句的支持也是很是全面的。

$pdo = new PDO('mysql:host=localhost;port=3306;dbname=blog_test', 'root', '');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// :xxx 佔位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (:username, :password, :salt)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->bindParam(':salt', $salt);

$username = 'one';
$password = '123123';
$salt = 'aaa';
$stmt->execute();

$username = 'two';
$password = '123123';
$salt = 'bbb';
$stmt->execute();

在代碼中，咱們使用 prepare() 方法定義預處理語句，這個方法會返回一個 PDOStatement 對象。在預處理的語句內使用 :xxx 這樣的佔位符號，並在外部使用 PDOStatement 對象的 bindParam() 方法爲這些佔位符綁定上變量。最後經過 execute() 來真正地執行 SQL 語句。

從這段代碼中，咱們就能夠看到預處理語句的兩大優點的體現。首先是佔位符，使用佔位符以後，咱們就不用在 SQL 語句中去寫單引號，單引號每每就是 SQL 注入的主要漏洞來源。bindParam() 方法會自動地轉換綁定數據的類型。固然，bindParam() 方法也能夠在可選的參數中指定綁定的數據類型，這樣就能讓咱們的代碼更加安全了，你們能夠查閱相關的文檔。

另外一個優點就是模板的能力，咱們只定義了一個 PDOStatement 對象，而後經過改變數據的內容，就能夠屢次地使用 execute() 方法去執行預處理語句。

佔位符還有另外一種寫法，就是使用一個問號來做爲佔位符號，在這種狀況下，bindParam() 方法的鍵名就要使用數字下標了。這裏須要注意的是，數字下標是從 1 開始的。

// ? 佔位符
$stmt = $pdo->prepare("insert into zyblog_test_user (username, password, salt) values (?, ?, ?)");
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);

$username = 'three';
$password = '123123';
$salt = 'ccc';
$stmt->execute();

在咱們的查詢中，也是能夠方便地使用預處理語句的功能進行數據查詢的。在這裏，咱們直接使用 execute() 來爲佔位符傳遞參數。

// 查詢獲取數據
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

$stmt->execute(['username'=>'one']);

while($row = $stmt->fetch()){
    print_r($row);
}

mysqli 操做預處理語句

雖然說主流是 PDO ，並且大部分框架中使用的也是 PDO ，但咱們在寫腳本，或者須要快速地測試一些功能的時候，仍是會使用 mysqli 來快速地開發。固然，mysqli 也是支持預處理語句相關功能的。

// mysqli 預處理
$conn = new mysqli('127.0.0.1', 'root', '', 'blog_test');
$username = 'one';
$stmt = $conn->prepare("select username from zyblog_test_user where username = ?");
$stmt->bind_param("s", $username);

$stmt->execute();

echo $stmt->bind_result($unames);

var_dump($unames);

while ($stmt->fetch()) {
    printf("%s\n", $unames);
}

能夠看出，mysqli 除了方法名不一樣以外，綁定參數的鍵名也不徹底的相同，這裏咱們使用的是問號佔位，在 bind_param() 方法中，是使用 s 來表示符號位置，若是是多個參數，就要寫成 sss... 這樣。

總結

預處理語句的能力在如今的框架中都已經幫咱們封裝好了，其實咱們並不須要太關心，就像 Laravel 中使用 DB::select() 進行數據庫操做時，咱們就能夠看到預處理語句的應用。
你們能夠自行查閱 vendor/laravel/framework/src/Illuminate/Database/Connection.php 中的 select() 方法。

測試代碼：

https://github.com/zhangyue0503/dev-blog/blob/master/php/202008/source/PHP%E4%B8%AD%E6%93%8D%E4%BD%9C%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E9%A2%84%E5%A4%84%E7%90%86%E8%AF%AD%E5%8F%A5.php

參考文檔：

https://www.php.net/manual/zh/pdo.prepared-statements.php

===========

各自媒體平臺都可搜索【硬核項目經理】