PHP PDO预处理

使用部门封装的MySQL操作类插入语句时碰到一个参数不明白，use_prepare = true。查文档发现是做数据库预处理用的，那么什么是数据库预处理呢？就是将动态参数嵌入到语句中编译的一个过程，编译后的语句可以重复利用。在php的PDO中，用法是：

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);

// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();

//  用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
?>

传入参数的方法除了:var 外还有?

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);

// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();

// 用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
?>

感觉? 做占位符可读性不是很好。

也可以不用bindParam()绑定参数：

$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
$stmt->execute(array($_GET['name']));

使用预处理的优点是
1. 可以防SQL注入，完全用预处理的方式去进行SQL操作可以完全避免SQL注入的发生
2. 不用自己拼' ，预处理会自动对字符串加引号

以后操作MySQL的时候都要先prepare 一下~

参考：预处理语句与存储过程