PDO預處理

什麼是預處理？

成熟的數據庫都支持預處理語句（Prepared Statements)的概念。

它們是什麼東西？你能夠把它們想成是一種編譯過的要執行的SQL語句模板，能夠使用不一樣的變量參數定製它。

預處理語句具備兩個主要的優勢：

1 查詢只須要被解析（或準備）一次，但能夠使用相同或不一樣的參數執行屢次。當查詢準備好（Prepared）以後，數據庫就會分析，編譯並優化它要執行查詢的計劃。

對於複雜查詢來講，若是你要重複執行許屢次有不一樣參數的但結構相同的查詢，這個過程會佔用大量的時間，使得你的應用變慢。

經過使用一個預處理語句你就能夠避免重複分析、編譯、優化的環節。簡單來講，預處理語句使用更少的資源，執行速度也就更快。

2 傳給預處理語句的參數不須要使用引號，底層驅動會爲你處理這個。

若是你的應用獨佔地使用預處理語句，你就能夠確信沒有SQL注入會發生。

代碼演示:

<?php header('content-type:text/html; charset=utf-8'); //實例化pdo對象 $pdo = new PDO('mysql:host=127.0.0.1;port=3306;dbname=test;', 'root', '888888'); //經過query函數執行sql命令 $pdo->query('set names utf8'); //插入數據 $sql = "insert into persons (name,age) values (?, ?);"; $preObj = $pdo->prepare($sql); $res = $preObj->execute(array('小明', 22)); var_dump($res); //刪除數據 $sql = "delete from persons where id = ?"; $preObj = $pdo->prepare($sql); $res = $preObj->execute(array(3)); var_dump($res); //修改數據 $sql = "update persons set name = ? where id = ?;"; $preObj = $pdo->prepare($sql); $res = $preObj->execute(array('lucy', 5)); var_dump($res); //查詢數據 $sql = "select * from persons where age > ? order by id desc;"; $preObj = $pdo->prepare($sql); $preObj->execute(array(20)); $arr = $preObj->fetchAll(PDO::FETCH_ASSOC); /* * FETCH_BOTH 是默認的，可省，返回關聯和索引。 * FETCH_ASSOC 參數決定返回的只有關聯數組。 * PDO::FETCH_NUM 返回索引數組 * PDO::FETCH_OBJ 返回由對象組成的二維數組 */ print_r($arr);