MYSQL 预处理 php实现方法

预处理的好处:
1、更大安全性。2、更好性能。3、批量查询。

对于预处理语句,只会把查询本身发送给mysql,并且只会解析一次,然后单独把值发送给mysql。
$q = ‘Insert into tb(num) values (?)’;
$stmt = mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,’i’,$n);
for($n=1;$n<=100;$n++)
{
mysqli_stmt_execute($stmt);
}
可以通过insert , update , delete , select 查询创建预处理,步骤:
1、定义查询:
$q = “select firstname,lastname from users where uid = ?”;   //(正常则是uid=$id)
2、将查询传给mysql预处理:
$stmt = mysqli_prepare($dbc,$q);   //此时mysql会解析查询,但不会执行。
3、将变量绑定到查询占位符”?”,如下:
mysqli_stmt_bind_param($stmt,’i’,$id);
其中’i’的含义是mysql_stmt_bind_param函数期望接收到的值为int类型,共有以下几种:
——————————————————————————–
字母                    表示绑定的值类型
d                             Decimal
i                               Integer
b                              Blob (二进制类型)
s                               所有其它类型
———————————————————————————-
如果查询语句有多个变量,如:
$q = “select uid,firstname from users where email=? AND pass=SHA1(?)”; //注意这里都没有对?问号加单引号,即使是字符型。这是和标准查询的区别。
多个变量直接在绑定时按顺序在引号内列出即可。如下:
$stmt = mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,’ss’,$e,$p);
还需要注意的时,在调用绑定函数前,可以不需要先对变量定义设置,如上面的$e,$p在下面才设置,这不会出错。
4、完成绑定后,可以给php变量赋值(如果还没有值的话)。然后执行语句。
$id=15;
mysqli_stmt_execute($stmt);
5、关闭预处理:
mysqli_stmt_close($stmt);
6、关闭连接
mysqli_close($dbc);
执行预处理时,如有出错则用mysqli_stmt_error($stmt)调用。
示例:
$dbc =mysqli_connect(‘localhost’,’username’,’pwd’,’forum’);
$q = ‘insert into messages(forumid,parentid,userid,subject,body,forumdate) values(?,?,?,?,?,NOW())’;
$stmt = mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,’iiiss’,$forumid,$parentid,$userid,$subject,$body);
$forumid = (int)$_POST[‘forumid’];
$parentid=(int) $_POST[‘parentid’];
$user_id =3;
$subject = strip_tags($_POST[‘subject’]); //strip_tags
$body = strip_tags($_POST[‘body’]);
mysqli_stmt_execute($stmt);
if(mysqli_stmt_affected_rows($stmt)==1)
{
//do ….
}else{
echo mysqli_stmt_error($stmt);
}
mysqli_stmt_close($stmt);
mysqli_close($dbc);
以上演示了预处理的一种语句,实际上预处理有两种语句:
1、绑定参数(bound parameter):如上面的示例
2、绑定结果(bound result):将查询结果绑定到php变量。

发表评论