pdo中使用参数化查询sql
程序员文章站
2022-09-24 19:11:08
方法 bindparam() 和 bindvalue() 非常相似。 唯一的区别就是前者使用一个php变量绑定参数,而后者使用一个值。 所以使用bindparam是第二个参...
方法 bindparam() 和 bindvalue() 非常相似。
唯一的区别就是前者使用一个php变量绑定参数,而后者使用一个值。
所以使用bindparam是第二个参数只能用变量名,而不能用变量值,而bindvalue至可以使用具体值。
$stm = $pdo->prepare("select * from users where user = :user");
$user = "jack";
//正确
$stm->bindparam(":user",$user);
//错误
//$stm->bindparam(":user","jack");
//正确
$stm->bindvalue(":user",$user);
//正确
$stm->bindvalue(":user","jack");
另外在存储过程中,bindparam可以绑定为input/output变量,如下面:
$stm = $pdo->prepare("call func(:param1)");
$param1 = "abcd";
$stm->bindparam(":param1",$param1); //正确
$stm->execute();
存储过程执行过后的结果可以直接反应到变量上。
对于那些内存中的大数据块参数,处于性能的考虑,应优先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%e5%8f%83%e6%95%b8%e5%8c%96%e6%9f%a5%e8%a9%a2
参数化查询
参数化查询(parameterized query 或 parameterized statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (parameter) 来给值,这个方法目前已被视为最有效可预防sql注入攻击 (sql injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便[来源请求],然而,使用参数化查询造成的额外开发成本,通常都远低于因为sql注入攻击漏洞被发现而遭受攻击,所造成的重大损失。
除了安全因素,相比起拼接字符串的 sql 语句,参数化的查询往往有性能优势。因为参数化的查询能让不同的数据通过参数到达数据库,从而公用同一条 sql 语句。大多数数据库会缓存解释 sql 语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的 sql 语句,则会由于操作数据是 sql 语句的一部分而非参数的一部分,而反复大量解释 sql 语句产生不必要的开销。
目录
* 1 原理
* 2 sql 指令撰写方法
o 2.1 microsoft sql server
o 2.2 microsoft access
o 2.3 mysql
o 2.4 postgresql/sqlite
* 3 客户端程序撰写方法
o 3.1 ado.net
o 3.2 pdo
o 3.3 jdbc
o 3.4 cold fusion
[编辑] 原理
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为sql指令的一部份来处理,而是在数据库完成 sql 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。
[编辑] sql 指令撰写方法
在撰写 sql 指令时,利用参数来代表需要填入的数值,例如:
[编辑] microsoft sql server
microsoft sql server 的参数格式是以 "@" 字符加上参数名称而成,sql server 亦支持匿名参数 "?"。
select * from mytable where myid = @myid
insert into mytable (c1, c2, c3, c4) values (@c1, @c2, @c3, @c4)
[编辑] microsoft access
microsoft access 不支持具名参数,只支持匿名参数 "?"。
update mytable set c1 = ?, c2 = ?, c3 = ? where c4 = ?
[编辑] mysql
mysql 的参数格式是以 "?" 字符加上参数名称而成。
update mytable set c1 = ?c1, c2 = ?c2, c3 = ?c3 where c4 = ?c4
[编辑] postgresql/sqlite
postgresql 和 sqlite 的参数格式是以 “:” 加上参数名而成。当然,也支持类似 access 的匿名参数。
update "mytable" set "c1" = :c1, "c2" = :c2, "c3" = :c3 where "c4" = :c4
[编辑] 客户端程序撰写方法
在客户端代码中撰写使用参数的代码,例如:
[编辑] ado.net
ado.net用于asp.net之内。
sqlcommand sqlcmd = new sqlcommand("insert into mytable (c1, c2, c3, c4) values (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.parameters.addwithvalue("@c1", 1); // 設定參數 @c1 的值。
sqlcmd.parameters.addwithvalue("@c2", 2); // 設定參數 @c2 的值。
sqlcmd.parameters.addwithvalue("@c3", 3); // 設定參數 @c3 的值。
sqlcmd.parameters.addwithvalue("@c4", 4); // 設定參數 @c4 的值。
sqlconn.open();
sqlcmd.executenonquery();
sqlconn.close();
[编辑] pdo
pdo用于php之内。 在使用 pdo 驱动时,参数查询的使用方法一般为:
// 实例化数据抽象层对象
$db = new pdo('pgsql:host=127.0.0.1;port=5432;dbname=testdb');
// 对 sql 语句执行 prepare,得到 pdostatement 对象
$stmt = $db->prepare('select * from "mytable" where "id" = :id and "is_valid" = :is_valid');
// 绑定参数
$stmt->bindvalue(':id', $id);
$stmt->bindvalue(':is_valid', true);
// 查询
$stmt->execute();
// 获取数据
foreach($stmt as $row) {
var_dump($row);
}
[code]
对于 mysql 的特定驱动,也可以这样使用:
$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("select priv from testusers where username=? and password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();
值得注意的是,以下方式虽然能有效防止 sql注入 (归功于 mysql_real_escape_string 函数的转义),但并不是真正的参数化查询。其本质仍然是拼接字符串的 sql 语句。
[code]
$query = sprintf("select * from users where username='%s' and password='%s'",
mysql_real_escape_string($username),
mysql_real_escape_string($password));
mysql_query($query);
[编辑] jdbc
jdbc用于java之内。
java.sql.preparedstatement prep = connection.preparestatement(
"select * from `users` where username = ? and password = ?");
prep.setstring(1, username);
prep.setstring(2, password);
prep.executequery();
[编辑] cold fusion
<cfquery name="recordset1" datasource="cafetownsend">
select *
from comments
where comment_id =<cfqueryparam value="#url.comment_id#" cfsqltype="cf_sql_numeric">
</cfquery>
唯一的区别就是前者使用一个php变量绑定参数,而后者使用一个值。
所以使用bindparam是第二个参数只能用变量名,而不能用变量值,而bindvalue至可以使用具体值。
复制代码 代码如下:
$stm = $pdo->prepare("select * from users where user = :user");
$user = "jack";
//正确
$stm->bindparam(":user",$user);
//错误
//$stm->bindparam(":user","jack");
//正确
$stm->bindvalue(":user",$user);
//正确
$stm->bindvalue(":user","jack");
另外在存储过程中,bindparam可以绑定为input/output变量,如下面:
复制代码 代码如下:
$stm = $pdo->prepare("call func(:param1)");
$param1 = "abcd";
$stm->bindparam(":param1",$param1); //正确
$stm->execute();
存储过程执行过后的结果可以直接反应到变量上。
对于那些内存中的大数据块参数,处于性能的考虑,应优先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%e5%8f%83%e6%95%b8%e5%8c%96%e6%9f%a5%e8%a9%a2
参数化查询
参数化查询(parameterized query 或 parameterized statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (parameter) 来给值,这个方法目前已被视为最有效可预防sql注入攻击 (sql injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便[来源请求],然而,使用参数化查询造成的额外开发成本,通常都远低于因为sql注入攻击漏洞被发现而遭受攻击,所造成的重大损失。
除了安全因素,相比起拼接字符串的 sql 语句,参数化的查询往往有性能优势。因为参数化的查询能让不同的数据通过参数到达数据库,从而公用同一条 sql 语句。大多数数据库会缓存解释 sql 语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的 sql 语句,则会由于操作数据是 sql 语句的一部分而非参数的一部分,而反复大量解释 sql 语句产生不必要的开销。
目录
* 1 原理
* 2 sql 指令撰写方法
o 2.1 microsoft sql server
o 2.2 microsoft access
o 2.3 mysql
o 2.4 postgresql/sqlite
* 3 客户端程序撰写方法
o 3.1 ado.net
o 3.2 pdo
o 3.3 jdbc
o 3.4 cold fusion
[编辑] 原理
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为sql指令的一部份来处理,而是在数据库完成 sql 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。
[编辑] sql 指令撰写方法
在撰写 sql 指令时,利用参数来代表需要填入的数值,例如:
[编辑] microsoft sql server
microsoft sql server 的参数格式是以 "@" 字符加上参数名称而成,sql server 亦支持匿名参数 "?"。
select * from mytable where myid = @myid
insert into mytable (c1, c2, c3, c4) values (@c1, @c2, @c3, @c4)
[编辑] microsoft access
microsoft access 不支持具名参数,只支持匿名参数 "?"。
update mytable set c1 = ?, c2 = ?, c3 = ? where c4 = ?
[编辑] mysql
mysql 的参数格式是以 "?" 字符加上参数名称而成。
update mytable set c1 = ?c1, c2 = ?c2, c3 = ?c3 where c4 = ?c4
[编辑] postgresql/sqlite
postgresql 和 sqlite 的参数格式是以 “:” 加上参数名而成。当然,也支持类似 access 的匿名参数。
update "mytable" set "c1" = :c1, "c2" = :c2, "c3" = :c3 where "c4" = :c4
[编辑] 客户端程序撰写方法
在客户端代码中撰写使用参数的代码,例如:
[编辑] ado.net
ado.net用于asp.net之内。
sqlcommand sqlcmd = new sqlcommand("insert into mytable (c1, c2, c3, c4) values (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.parameters.addwithvalue("@c1", 1); // 設定參數 @c1 的值。
sqlcmd.parameters.addwithvalue("@c2", 2); // 設定參數 @c2 的值。
sqlcmd.parameters.addwithvalue("@c3", 3); // 設定參數 @c3 的值。
sqlcmd.parameters.addwithvalue("@c4", 4); // 設定參數 @c4 的值。
sqlconn.open();
sqlcmd.executenonquery();
sqlconn.close();
[编辑] pdo
pdo用于php之内。 在使用 pdo 驱动时,参数查询的使用方法一般为:
复制代码 代码如下:
// 实例化数据抽象层对象
$db = new pdo('pgsql:host=127.0.0.1;port=5432;dbname=testdb');
// 对 sql 语句执行 prepare,得到 pdostatement 对象
$stmt = $db->prepare('select * from "mytable" where "id" = :id and "is_valid" = :is_valid');
// 绑定参数
$stmt->bindvalue(':id', $id);
$stmt->bindvalue(':is_valid', true);
// 查询
$stmt->execute();
// 获取数据
foreach($stmt as $row) {
var_dump($row);
}
[code]
对于 mysql 的特定驱动,也可以这样使用:
$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("select priv from testusers where username=? and password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();
值得注意的是,以下方式虽然能有效防止 sql注入 (归功于 mysql_real_escape_string 函数的转义),但并不是真正的参数化查询。其本质仍然是拼接字符串的 sql 语句。
[code]
$query = sprintf("select * from users where username='%s' and password='%s'",
mysql_real_escape_string($username),
mysql_real_escape_string($password));
mysql_query($query);
[编辑] jdbc
jdbc用于java之内。
java.sql.preparedstatement prep = connection.preparestatement(
"select * from `users` where username = ? and password = ?");
prep.setstring(1, username);
prep.setstring(2, password);
prep.executequery();
[编辑] cold fusion
<cfquery name="recordset1" datasource="cafetownsend">
select *
from comments
where comment_id =<cfqueryparam value="#url.comment_id#" cfsqltype="cf_sql_numeric">
</cfquery>
上一篇: 直播带货大战在即:账号交易灰产猖獗
下一篇: php 文章调用类代码