mysql update 预处理方法 mysql预处理语句

什么是预处理语句？可以把它看作是想要运行的 SQL 的一种编译过的模板，它可以使用变量参数进行定制。

预处理语句可以带来两大好处：

查询仅需解析(或预处理)一次，但可以用相同或不同的参数执行多次。当查询准备好后，数据库将分析、编译和优化执行该查询的计划。对于复杂的查询，此过程要花费较长的时间，如果需要以不同参数多次重复相同的查询，那么该过程将大大降低应用程序的速度。通过使用预处理语句，可以避免重复分析/编译/优化周期。简言之，预处理语句占用更少的资源，因而运行得更快。

提供给预处理语句的参数不需要用引号括起来，驱动程序会自动处理。如果应用程序只使用预处理语句，可以确保不会发生SQL 注入。(然而，如果查询的其他部分是由未转义的输入来构建的，则仍存在 SQL 注入的风险)。

预处理语句如此有用，以至于它们唯一的特性是在驱动程序不支持的时PDO 将模拟处理。这样可以确保不管数据库是否具有这样的功能，都可以确保应用程序可以用相同的数据访问模式。

用预处理语句进行重复插入

下面例子通过用 name 和 value 替代相应的命名占位符来执行一个插入查询

$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); // 连接数据库
// 设置 PDO 错误模式为异常
//$conn->setAttribute(参数名，参数值);
/**
PDO::ATTR_ERRMODE(参数值如下):
PDO::ERRMODE_SILENT

此为默认模式。 PDO 将只简单地设置错误码，

可使用 PDO::errorCode() 和 PDO::errorInfo() 方法来检查语句和数据库对象。

如果错误是由于对语句对象的调用而产生的，

那么可以调用那个对象的 PDOStatement::errorCode() 或

PDOStatement::errorInfo() 方法。

如果错误是由于调用数据库对象而产生的，

那么可以在数据库对象上调用上述两个方法。

PDO::ERRMODE_WARNING

除设置错误码之外，PDO 还将发出一条传统的 E_WARNING 信息。

如果只是想看看发生了什么问题且不中断应用程序的流程，

那么此设置在调试/测试期间非常有用。

PDO::ERRMODE_EXCEPTION

除设置错误码之外，PDO 还将抛出一个 PDOException 异常类并设置它的属

性来反射错误码和错误信息。

此设置在调试期间也非常有用，因为它会有效地放大脚本中产生错误的点，

从而可以非常快速地指出代码中有问题的潜在区域

(记住：如果异常导致脚本终止，则事务被自动回滚)。

异常模式另一个非常有用的是，相比传统 PHP 风格的警告，

可以更清晰地构建自己的错误处理，

而且比起静默模式和显式地检查每种数据库调用的返回值，

异常模式需要的代码/嵌套更少。

**/
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 预处理 SQL 并绑定参数
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)"); /**准备要执行的SQL
语句并返回一个 PDOStatement 对象,
返回此对象以后，该对象里才会包括下面执行一条预处理语句的方法$stmt->execute()
**/
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// 插入行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute(); // 执行一条预处理语句
// 插入其他行
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
// 插入其他行
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新记录插入成功";
}
catch(PDOException $e)
{
echo "Error: " . $e->getMessage();
}
$conn = null;
?>

补充一个知识点：

mySql使用模糊查询 like 后面有变量和占位符一起使用时怎么办

三种方法：

//第一种方法：

$sql="SELECT * FROM table1 WHERE name LIKE '%$var%'"; // %表示占位符，也就是不确定查询的前后字符是什么时使用

//第三种方法：

$sql="SELECT * FROM table1 WHERE name LIKE '%" . $var . "%'";

//第三种方法：

$sql="SELECT * FROM table1 WHERE name LIKE '%{$var}%'";

over!