温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

如何实现php pdo参数化查询

发布时间:2021-09-24 11:46:19 来源:亿速云 阅读:171 作者:柒染 栏目:编程语言

如何实现php pdo参数化查询,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。

在PHP中可以通过prepare方法进行PDO参数化查询,该方法会返回一个PDOStatement对象,使用语法如“prepare('SELECT login_oid FROM logined WHERE user_id=...”。

本文操作环境:Windows7系统、PHP7.1、Dell G3电脑。

php pdo参数化查询怎么实现?

PDO参数化查询prepare() php防SQL注入

PDO中参数化查询主要用到prepare()方法,然后这个方法会返回一个PDOStatement对象,也就SQL声明(不知道怎么翻译),此时SQL语句只是被编译,但并未执行,调用PDOStatement中方法后会执行SQL语句,如下示例:

$sm = $db->prepare('SELECT login_oid FROM logined WHERE user_id=:user_id;');
$sm->bindValue(':user_id', $user_id, PDO::PARAM_INT);
$sm -> execute();

在execute()执行前,就可以调用bindValue()或者bindParam()方法替换之前准备的SQL语句中的你指定参数了,在SQL语句中指定参数有两种方式:':name’和’?’,上面代码中的用的是前一种,后一种的方式是:

$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?;');
$sm->bindValue(1, $calories, PDO::PARAM_INT);
$sm->execute();

bindValue()有三个参数,第一个指定要替换掉SQL语句中哪一个参数,第二个指定替换后的值,第三个指定值的类型,类型对应如下:

PDO::PARAM_BOOL

布尔类型

PDO::PARAM_NULL

NULL类型

PDO::PARAM_INT

整数类型

PDO::PARAM_STR

字符串类型如 CHAR, VARCHAR, string

PDO::PARAM_LOB

资源类大对象,如文件等

PDO::PARAM_STMT

不知道

PDO::PARAM_INPUT_OUTPUT

这个好像是扩展类型

里面没有提供实数类型,这个很诧异.

再说说execute()这个方法,它本身也可以做参数替换,但是它会把所有值的类型都变成字符串类型,如下

$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?;');
$sm->execute(array($calories));

多参数替换如下

$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?, id < ?;');
$sm->execute(array($calories, $user_id));


看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI