前言

SQL语句的执行处理，分为即时语句和预处理语句。

即时语句，顾名思义，一条SQL语句直接是走流程处理，一次编译，单次运行，此类普通语句被称作Immediate Statements（即时语句）。

预处理语句(Prepared Statements，也称为参数化语句)只是一个SQL查询模板，其中包含占位符而不是实际参数值。在执行语句时，这些占位符将被实际值替换。预处理语句用于执行多个相同的SQL语句，并且执行效率更高。

预处理语句能够有效地防御SQL注入。

工作原理

相比于直接执行SQL语句，预处理语句有如下优势：

• 预处理语句大大减少了分析时间。一个预处理语句可以高效地重复执行同一条语句，因为该语句仅被再次解析一次。

• 绑定参数减少了服务器带宽，你只需要发送查询的参数，而不是整个语句。

• 使用不同的协议将参数值与查询分开发送到数据库服务器，保证了数据的合法性，有效地防范了SQL注入。因此预处理语句被认为是数据库安全性中最关键的元素之一。

预处理

创建SQL语句模板并发送到数据库。预留的值使用参数?标记 。

例如：

INSERT INTO grade (id, name, phonenum, grades) VALUES(?, ?, ?, ?)

数据库解析

服务端数据库解析，编译并对SQL语句模板执行查询优化和语法检查，并将其存储以备后用。

执行

执行阶段，参数值将发送到服务器，将绑定的值传递给参数（?标记）。服务端数据库将语句模板和这些值合成一个语句然后执行它。

PHP实现（Demo）

index.html文件如下：

<!DOCTYPE html>
<html>
   <head>
       <meta charset="utf-8">
   </head>
   <body>
       <form  action="db.php" method="get">
          学号：<input type="num" name="id"><br>
          姓名：<input type="string" name="name"><br>
          电话：<input type="string" name="phonenum"><br>
          成绩：<input type="num" name="grades"><br>
           <input type="submit" value="提交">
       </form>
   </body>
</html>

db.php文件如下：

<?php

// 自己的数据库信息
$servername = "localhost";
$username = "yourname";
$password = "yourpassword";
$dbname = "youdb";
 
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
 
// 检测连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}
 
// 预处理及绑定
$stmt = $conn->prepare("INSERT INTO grade (id, name, phonenum, grades) VALUES(?, ?, ?, ?)"); 
$stmt->bind_param("issi", $id, $name, $phonenum, $grades);
 
// 设置参数并执行
if (isset($_GET['id'])&&isset($_GET['name'])&&isset($_GET['phonenum'])&&isset($_GET['grades'])) {
    $id = $_GET['id'];
    $name = $_GET['name'];
    $phonenum = $_GET['phonenum'];
    $grades = $_GET['grades'];
    $stmt->execute();
    echo "数据插入成功";
}
    
$stmt->close();
$conn->close();
?>

输入数据，点击提交。

查看数据库，发现插入成功。

代码解析

在SQL语句中，我们使用了问号?，在此我们可以将问号替换为整型，字符串，双精度浮点型和布尔型。

$stmt = $conn->prepare("INSERT INTO grade (id, name, phonenum, grades) VALUES(?, ?, ?, ?)");

bind_param()函数。该函数绑定了SQL的参数，且告诉数据库参数的值。issi参数列处理其余参数的数据类型。s字符告诉数据库该参数为字符串，i字符告诉数据库该参数为整型。后面的每个参数都需要为其指定类型。

参数可以为以下四种类型：

• i – integer（整型）

• d – double（双精度浮点型）

• s – string（字符串）

• b – BLOB（Binary Large Object：二进制大对象）

• $stmt->bind_param("issi", $id, $name, $phonenum, $grades);

将用户通过GET方式传入的数据设为参数，然后execute()执行语句。

$id = $_GET['id'];
$name = $_GET['name'];
$phonenum = $_GET['phonenum'];
$grades = $_GET['grades'];
$stmt->execute();