PHP MySQL 預處理語句
預處理語句對於防止 SQL 注入非常有用。
預處理語句和繫結引數
預處理語句是一項用於高效地重複執行相同(或相似)SQL 語句的功能。
預處理語句的基本工作原理如下:
- 準備:建立一個 SQL 語句模板並將其傳送到資料庫。某些值留空,稱為引數(用 "?" 標記)。例如:INSERT INTO MyGuests VALUES(?, ?, ?)
- 資料庫會解析、編譯 SQL 語句模板,並進行查詢最佳化,然後儲存結果而不執行它。
- 執行:稍後,應用程式將值繫結到引數,然後資料庫執行該語句。應用程式可以根據需要多次以不同值執行該語句。
與直接執行 SQL 語句相比,預處理語句有三個主要優點:
- 預處理語句減少了解析時間,因為查詢只准備一次(儘管語句會執行多次)。
- 繫結引數可以最大限度地減少到伺服器的頻寬,因為每次只需要傳送引數,而不是整個查詢。
- 預處理語句對於防止 SQL 注入非常有用,因為稍後透過不同協議傳輸的引數值不需要正確轉義。如果原始語句模板不是從外部輸入派生的,則不會發生 SQL 注入。
MySQLi 中的預處理語句
以下示例在 MySQLi 中使用了預處理語句和繫結引數。
示例(MySQLi 結合預處理語句)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 建立連線
$conn = new mysqli($servername, $username, $password, $dbname);
// 檢查連線
if ($conn->connect_error) {
die("連線失敗: " . $conn->connect_error);
}
// 準備並繫結
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// 設定引數並執行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新記錄建立成功";
$stmt->close();
$conn->close();
?>
解釋以上示例的程式碼行:
"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"
在我們的 SQL 中,我們在想要替換整數、字串、雙精度數或 blob 值的位置插入一個問號 (?)。
然後,檢視 bind_param() 函式:
$stmt->bind_param("sss", $firstname, $lastname, $email);
此函式將引數繫結到 SQL 查詢,並告訴資料庫引數是什麼。"sss" 引數列出了引數的資料型別。s 字元告訴 mysql 該引數是字串。
引數可以是四種類型之一:
- i - 整數
- d - 雙精度數
- s - 字串
- b - BLOB
每個引數都必須是其中一種型別。
透過告知 mysql 期望的資料型別,我們最大限度地降低了 SQL 注入的風險。
注意:如果我們要插入任何來自外部來源(如使用者輸入)的資料,對資料進行清理和驗證非常重要。
PDO 中的預處理語句
以下示例在 PDO 中使用了預處理語句和繫結引數。
示例(PDO 結合預處理語句)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 將 PDO 錯誤模式設定為異常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 準備 SQL 並繫結引數
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// 插入一行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
// 插入另一行
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();
// 插入另一行
$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();
echo "新記錄建立成功";
} catch(PDOException $e) {
echo "錯誤: " . $e->getMessage();
}
$conn = null;
?>
