前言
SQL语句的执行处理,分为即时语句和预处理语句。
即时语句,顾名思义,一条SQL语句直接是走流程处理,一次编译,单次运行,此类普通语句被称作Immediate Statements
(即时语句)。
预处理语句(Prepared Statements
,也称为参数化语句)只是一个SQL查询模板,其中包含占位符而不是实际参数值。在执行语句时,这些占位符将被实际值替换。预处理语句用于执行多个相同的SQL语句,并且执行效率更高。
预处理语句能够有效地防御。
相比于直接执行SQL语句,预处理语句有如下优势:
预处理语句大大减少了分析时间。一个预处理语句可以高效地重复执行同一条语句,因为该语句仅被再次解析一次。
绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。
使用不同的协议将参数值与查询分开发送到数据库服务器,保证了数据的合法性,有效地防范了SQL注入。因此预处理语句被认为是数据库安全性中最关键的元素之一。
预处理
创建SQL语句模板并发送到数据库。预留的值使用参数?
标记 。
例如:
INSERT INTO grade (id, name, phonenum, grades) VALUES(?, ?, ?, ?)
数据库解析
服务端数据库解析,编译并对SQL语句模板执行查询优化和语法检查,并将其存储以备后用。
执行
执行阶段,参数值将发送到服务器,将绑定的值传递给参数(?
标记)。服务端数据库将语句模板和这些值合成一个语句然后执行它。
PHP实现(Demo)
index.html
文件如下:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
</head>
<body>
<form action="db.php" method="get">
学号:<input type="num" name="id"><br>
姓名:<input type="string" name="name"><br>
电话:<input type="string" name="phonenum"><br>
成绩:<input type="num" name="grades"><br>
<input type="submit" value="提交">
</form>
</body>
</html>
db.php
文件如下:
<?php
// 自己的数据库信息
$servername = "localhost";
$username = "yourname";
$password = "yourpassword";
$dbname = "youdb";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检测连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
// 预处理及绑定
$stmt = $conn->prepare("INSERT INTO grade (id, name, phonenum, grades) VALUES(?, ?, ?, ?)");
$stmt->bind_param("issi", $id, $name, $phonenum, $grades);
// 设置参数并执行
if (isset($_GET['id'])&&isset($_GET['name'])&&isset($_GET['phonenum'])&&isset($_GET['grades'])) {
$id = $_GET['id'];
$name = $_GET['name'];
$phonenum = $_GET['phonenum'];
$grades = $_GET['grades'];
$stmt->execute();
echo "数据插入成功";
}
$stmt->close();
$conn->close();
?>
输入数据,点击提交。
查看数据库,发现插入成功。
代码解析
在SQL语句中,我们使用了问号?
,在此我们可以将问号替换为整型,字符串,双精度浮点型和布尔型。
$stmt = $conn->prepare("INSERT INTO grade (id, name, phonenum, grades) VALUES(?, ?, ?, ?)");
bind_param()
函数。该函数绑定了SQL
的参数,且告诉数据库参数的值。issi
参数列处理其余参数的数据类型。s
字符告诉数据库该参数为字符串,i
字符告诉数据库该参数为整型。后面的每个参数都需要为其指定类型。
参数可以为以下四种类型:
-
i - integer(整型)
-
d - double(双精度浮点型)
-
s - string(字符串)
-
b - BLOB(Binary Large Object:)
-
$stmt->bind_param("issi", $id, $name, $phonenum, $grades);
将用户通过GET
方式传入的数据设为参数,然后execute()
执行语句。
$id = $_GET['id'];
$name = $_GET['name'];
$phonenum = $_GET['phonenum'];
$grades = $_GET['grades'];
$stmt->execute();