php mysql之PDO预处理语句

什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。

预处理语句可以带来两大好处:

查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。
提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会发生SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。
预处理语句如此有用,以至于它们唯一的特性是在驱动程序不支持的时PDO 将模拟处理。这样可以确保不管数据库是否具有这样的功能,都可以确保应用程序可以用相同的数据访问模式。

用预处理语句进行重复插入
下面例子通过用 name 和 value 替代相应的命名占位符来执行一个插入查询

setAttribute(参数名,参数值);

/**
PDO::ATTR_ERRMODE(参数值如下):

PDO::ERRMODE_SILENT
    此为默认模式。 PDO 将只简单地设置错误码,
    可使用 PDO::errorCode() 和 PDO::errorInfo() 方法来检查语句和数据库对象。
    如果错误是由于对语句对象的调用而产生的,
    那么可以调用那个对象的 PDOStatement::errorCode() 或         
    PDOStatement::errorInfo() 方法。
    如果错误是由于调用数据库对象而产生的,
    那么可以在数据库对象上调用上述两个方法。

PDO::ERRMODE_WARNING
    除设置错误码之外,PDO 还将发出一条传统的 E_WARNING 信息。
    如果只是想看看发生了什么问题且不中断应用程序的流程,
    那么此设置在调试/测试期间非常有用。

PDO::ERRMODE_EXCEPTION
    除设置错误码之外,PDO 还将抛出一个 PDOException 异常类并设置它的属    
    性来反射错误码和错误信息。
    此设置在调试期间也非常有用,因为它会有效地放大脚本中产生错误的点,
    从而可以非常快速地指出代码中有问题的潜在区域
  (记住:如果异常导致脚本终止,则事务被自动回滚)。

    异常模式另一个非常有用的是,相比传统 PHP 风格的警告,
    可以更清晰地构建自己的错误处理,
    而且比起静默模式和显式地检查每种数据库调用的返回值,
    异常模式需要的代码/嵌套更少。

**/
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
 
    // 预处理 SQL 并绑定参数
    $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) 
    VALUES (:firstname, :lastname, :email)"); /**准备要执行的SQL
    语句并返回一个 PDOStatement 对象,
    返回此对象以后,该对象里才会包括下面执行一条预处理语句的方法$stmt->execute()
    **/
    $stmt->bindParam(':firstname', $firstname);
    $stmt->bindParam(':lastname', $lastname);
    $stmt->bindParam(':email', $email);
 
    // 插入行
    $firstname = "John";
    $lastname = "Doe";
    $email = "[email protected]";
    $stmt->execute(); // 执行一条预处理语句
 
    // 插入其他行
    $firstname = "Mary";
    $lastname = "Moe";
    $email = "[email protected]";
    $stmt->execute();
 
    // 插入其他行
    $firstname = "Julie";
    $lastname = "Dooley";
    $email = "[email protected]";
    $stmt->execute();
 
    echo "新记录插入成功";
}
catch(PDOException $e)
{
    echo "Error: " . $e->getMessage();
}
$conn = null;
?>

补充一个知识点:

mySql使用模糊查询 like 后面有变量和占位符一起使用时怎么办

三种方法:

//第一种方法:
$sql="SELECT * FROM table1 WHERE name LIKE '%$var%'";  // %表示占位符,也就是不确定查询的前后字符是什么时使用

//第三种方法:
$sql="SELECT * FROM table1 WHERE name LIKE '%" . $var . "%'";

//第三种方法:
$sql="SELECT * FROM table1 WHERE name LIKE '%{$var}%'";


over!

你可能感兴趣的:(php mysql之PDO预处理语句)