php mysql之PDO预处理语句

什么是预处理语句？可以把它看作是想要运行的 SQL 的一种编译过的模板，它可以使用变量参数进行定制。

预处理语句可以带来两大好处：

查询仅需解析（或预处理）一次，但可以用相同或不同的参数执行多次。当查询准备好后，数据库将分析、编译和优化执行该查询的计划。对于复杂的查询，此过程要花费较长的时间，如果需要以不同参数多次重复相同的查询，那么该过程将大大降低应用程序的速度。通过使用预处理语句，可以避免重复分析/编译/优化周期。简言之，预处理语句占用更少的资源，因而运行得更快。
提供给预处理语句的参数不需要用引号括起来，驱动程序会自动处理。如果应用程序只使用预处理语句，可以确保不会发生SQL 注入。（然而，如果查询的其他部分是由未转义的输入来构建的，则仍存在 SQL 注入的风险）。
预处理语句如此有用，以至于它们唯一的特性是在驱动程序不支持的时PDO 将模拟处理。这样可以确保不管数据库是否具有这样的功能，都可以确保应用程序可以用相同的数据访问模式。

用预处理语句进行重复插入
下面例子通过用 name 和 value 替代相应的命名占位符来执行一个插入查询

setAttribute(参数名，参数值);

/**
PDO::ATTR_ERRMODE(参数值如下):

PDO::ERRMODE_SILENT
    此为默认模式。 PDO 将只简单地设置错误码，
    可使用 PDO::errorCode() 和 PDO::errorInfo() 方法来检查语句和数据库对象。
    如果错误是由于对语句对象的调用而产生的，
    那么可以调用那个对象的 PDOStatement::errorCode() 或         
    PDOStatement::errorInfo() 方法。
    如果错误是由于调用数据库对象而产生的，
    那么可以在数据库对象上调用上述两个方法。

PDO::ERRMODE_WARNING
    除设置错误码之外，PDO 还将发出一条传统的 E_WARNING 信息。
    如果只是想看看发生了什么问题且不中断应用程序的流程，
    那么此设置在调试/测试期间非常有用。

PDO::ERRMODE_EXCEPTION
    除设置错误码之外，PDO 还将抛出一个 PDOException 异常类并设置它的属    
    性来反射错误码和错误信息。
    此设置在调试期间也非常有用，因为它会有效地放大脚本中产生错误的点，
    从而可以非常快速地指出代码中有问题的潜在区域
  （记住：如果异常导致脚本终止，则事务被自动回滚）。

    异常模式另一个非常有用的是，相比传统 PHP 风格的警告，
    可以更清晰地构建自己的错误处理，
    而且比起静默模式和显式地检查每种数据库调用的返回值，
    异常模式需要的代码/嵌套更少。

**/
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
 
    // 预处理 SQL 并绑定参数
    $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) 
    VALUES (:firstname, :lastname, :email)"); /**准备要执行的SQL
    语句并返回一个 PDOStatement 对象,
    返回此对象以后，该对象里才会包括下面执行一条预处理语句的方法$stmt->execute()
    **/
    $stmt->bindParam(':firstname', $firstname);
    $stmt->bindParam(':lastname', $lastname);
    $stmt->bindParam(':email', $email);
 
    // 插入行
    $firstname = "John";
    $lastname = "Doe";
    $email = "[email protected]";
    $stmt->execute(); // 执行一条预处理语句
 
    // 插入其他行
    $firstname = "Mary";
    $lastname = "Moe";
    $email = "[email protected]";
    $stmt->execute();
 
    // 插入其他行
    $firstname = "Julie";
    $lastname = "Dooley";
    $email = "[email protected]";
    $stmt->execute();
 
    echo "新记录插入成功";
}
catch(PDOException $e)
{
    echo "Error: " . $e->getMessage();
}
$conn = null;
?>

补充一个知识点：

mySql使用模糊查询 like 后面有变量和占位符一起使用时怎么办

三种方法：

//第一种方法：
$sql="SELECT * FROM table1 WHERE name LIKE '%$var%'";  // %表示占位符，也就是不确定查询的前后字符是什么时使用

//第三种方法：
$sql="SELECT * FROM table1 WHERE name LIKE '%" . $var . "%'";

//第三种方法：
$sql="SELECT * FROM table1 WHERE name LIKE '%{$var}%'";

over!