預處理語句用於執行多個相同的 SQL 語句,並且執行效率更高。
預處理語句的工作原理如下:
-
預處理:創建 SQL 語句模板並發送到數據庫。預留的值使用參數 "?" 標記 。例如:
INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?) -
數據庫解析,編譯,對SQL語句模板執行查詢優化,並存儲結果不輸出。
-
執行:最后,將應用綁定的值傳遞給參數("?" 標記),數據庫執行語句。應用可以多次執行語句,如果參數的值不一樣。
相比於直接執行SQL語句,預處理語句有兩個主要優點:
-
預處理語句大大減少了分析時間,只做了一次查詢(雖然語句多次執行)。
-
綁定參數減少了服務器帶寬,你只需要發送查詢的參數,而不是整個語句。
-
預處理語句針對SQL注入是非常有用的,因為參數值發送后使用不同的協議,保證了數據的合法性。
下面附上DML(insert delete update)和DQL(select)語句的預處理代碼
DML預處理:
//預處理1--操作數據庫 $mysqli = new mysqli('localhost','root','mayi1991','mysqldemo'); $mysqli->query('set names utf8'); //創建預編譯對象 $mysqli_stmt = $mysqli->prepare("insert account (balance,name) values (?,?)"); //綁定參數 $balance = 122; $name = '小白'; $mysqli_stmt->bind_param("ds",$balance,$name); //$mysqli_stmt->bind_param("ds",122,'小白'); //這樣是錯誤的,我也不知道為啥子 //執行 返回boolean值 $mysqli_stmt->execute();
DQL預處理:
//預處理2--查詢數據庫 //創建預處理對象 $mysqli_stmt = $mysqli->prepare('select name,balance from account where id < ?'); //綁定參數 $id = 5; $mysqli_stmt->bind_param('i',$id); //執行 $mysqli_stmt->execute(); //綁定結果集 $mysqli_stmt->bind_result($name,$balance); //這里的變量指向的是內存地址 //輸出結果集 while($mysqli_stmt->fetch()){ echo "$name--$balance"; }
ok,就醬紫嘍