什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。
预处理语句可以带来两大好处:
查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。
提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会发生SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。
预处理语句如此有用,以至于它们唯一的特性是在驱动程序不支持的时PDO 将模拟处理。这样可以确保不管数据库是否具有这样的功能,都可以确保应用程序可以用相同的数据访问模式。
用预处理语句进行重复插入
下面例子通过用 name 和 value 替代相应的命名占位符来执行一个插入查询
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); // 连接数据库
// 设置 PDO 错误模式为异常
//$conn->setAttribute(参数名,参数值);
/**
PDO::ATTR_ERRMODE(参数值如下):
PDO::ERRMODE_SILENT
此为默认模式。 PDO 将只简单地设置错误码,
可使用 PDO::errorCode() 和 PDO::errorInfo() 方法来检查语句和数据库对象。
如果错误是由于对语句对象的调用而产生的,
那么可以调用那个对象的 PDOStatement::errorCode() 或
PDOStatement::errorInfo() 方法。
如果错误是由于调用数据库对象而产生的,
那么可以在数据库对象上调用上述两个方法。
PDO::ERRMODE_WARNING
除设置错误码之外,PDO 还将发出一条传统的 E_WARNING 信息。
如果只是想看看发生了什么问题且不中断应用程序的流程,
那么此设置在调试/测试期间非常有用。
PDO::ERRMODE_EXCEPTION
除设置错误码之外,PDO 还将抛出一个 PDOException 异常类并设置它的属
性来反射错误码和错误信息。
此设置在调试期间也非常有用,因为它会有效地放大脚本中产生错误的点,
从而可以非常快速地指出代码中有问题的潜在区域
(记住:如果异常导致脚本终止,则事务被自动回滚)。
异常模式另一个非常有用的是,相比传统 PHP 风格的警告,
可以更清晰地构建自己的错误处理,
而且比起静默模式和显式地检查每种数据库调用的返回值,
异常模式需要的代码/嵌套更少。
**/
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 预处理 SQL 并绑定参数
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)"); /**准备要执行的SQL
语句并返回一个 PDOStatement 对象,
返回此对象以后,该对象里才会包括下面执行一条预处理语句的方法$stmt->execute()
**/
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// 插入行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute(); // 执行一条预处理语句
// 插入其他行
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
// 插入其他行
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新记录插入成功";
}
catch(PDOException $e)
{
echo "Error: " . $e->getMessage();
}
$conn = null;
?>
补充一个知识点:
mySql使用模糊查询 like 后面有变量和占位符一起使用时怎么办
三种方法:
//第一种方法:
$sql="SELECT * FROM table1 WHERE name LIKE '%$var%'"; // %表示占位符,也就是不确定查询的前后字符是什么时使用
//第三种方法:
$sql="SELECT * FROM table1 WHERE name LIKE '%" . $var . "%'";
//第三种方法:
$sql="SELECT * FROM table1 WHERE name LIKE '%{$var}%'";
over!