第php使用預(yù)處理語句操作數(shù)據(jù)庫預(yù)處理語句，可以把它看作是想要運行的SQL語句的一種編譯過的模板，它可以使用變量參數(shù)進行控制。預(yù)處理語句可以帶來兩大好處：

查詢僅需解析（或預(yù)處理）一次，但可以用相同或不同的參數(shù)執(zhí)行多次。當查詢準備好后，數(shù)據(jù)庫將分析、編譯和優(yōu)化執(zhí)行該查詢的計劃。對于復(fù)雜的查詢，此過程要花費較長的時間，如果需要以不同參數(shù)多次重復(fù)相同的查詢，那么該過程將大大降低應(yīng)用程序的速度。通過使用預(yù)處理語句，可以避免重復(fù)分析/編譯/優(yōu)化周期。簡言之，預(yù)處理語句占用更少的資源，因而運行得更快。

提供給預(yù)處理語句的參數(shù)不需要用引號括起來，驅(qū)動程序會自動處理。如果應(yīng)用程序只使用預(yù)處理語句，可以確保不會發(fā)生SQL注入。（然而，如果查詢的其他部分是由未轉(zhuǎn)義的輸入來構(gòu)建的，則仍存在SQL注入的風(fēng)險）。

上述內(nèi)容是摘自官方文檔的說明，但其實預(yù)處理語句帶給我們最直觀的好處就是能夠有效地預(yù)防SQL注入。關(guān)于SQL注入的內(nèi)容我們將來在學(xué)習(xí)MySQL的時候再進行深入的學(xué)習(xí)，這里就不過多地介紹了，反正預(yù)處理語句就是可以完成這項工作就好了。

PDO操作預(yù)處理語句

在PHP的擴展中，PDO已經(jīng)是主流的核心數(shù)據(jù)庫擴展庫，自然它對預(yù)處理語句的支持也是非常全面的。

$pdo=newPDO('mysql:host=localhost;port=3306;dbname=blog_test','root','');

$pdo-setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);

//:xxx占位符

$stmt=$pdo-prepare("insertintozyblog_test_user(username,password,salt)values(:username,:password,:salt)");

$stmt-bindParam(':username',$username);

$stmt-bindParam(':password',$password);

$stmt-bindParam(':salt',$salt);

$username='one';

$password='123123';

$salt='aaa';

$stmt-execute();

$username='two';

$password='123123';

$salt='bbb';

$stmt-execute();

在代碼中，我們使用prepare()方法定義預(yù)處理語句，這個方法會返回一個PDOStatement對象。在預(yù)處理的語句內(nèi)使用:xxx這樣的占位符號，并在外部使用PDOStatement對象的bindParam()方法為這些占位符綁定上變量。最后通過execute()來真正地執(zhí)行SQL語句。

從這段代碼中，我們就可以看到預(yù)處理語句的兩大優(yōu)勢的體現(xiàn)。首先是占位符，使用占位符之后，我們就不用在SQL語句中去寫單引號，單引號往往就是SQL注入的主要漏洞來源。bindParam()方法會自動地轉(zhuǎn)換綁定數(shù)據(jù)的類型。當然，bindParam()方法也可以在可選的參數(shù)中指定綁定的數(shù)據(jù)類型，這樣就能讓我們的代碼更加安全了，大家可以查閱相關(guān)的文檔。

另一個優(yōu)勢就是模板的能力，我們只定義了一個PDOStatement對象，然后通過改變數(shù)據(jù)的內(nèi)容，就可以多次地使用execute()方法去執(zhí)行預(yù)處理語句。

占位符還有另一種寫法，就是使用一個問號來作為占位符號，在這種情況下，bindParam()方法的鍵名就要使用數(shù)字下標了。這里需要注意的是，數(shù)字下標是從1開始的。

//占位符

$stmt=$pdo-prepare("insertintozyblog_test_user(username,password,salt)values(,,)");

$stmt-bindParam(1,$username);

$stmt-bindParam(2,$password);

$stmt-bindParam(3,$salt);

$username='three';

$password='123123';

$salt='ccc';

$stmt-execute();

在我們的查詢中，也是可以方便地使用預(yù)處理語句的功能進行數(shù)據(jù)查詢的。在這里，我們直接使用execute()來為占位符傳遞參數(shù)。

//查詢獲取數(shù)據(jù)

$stmt=$pdo-prepare("select*fromzyblog_test_userwhereusername=:username");

$stmt-execute(['username'='one']);

while($row=$stmt-fetch()){

print_r($row);

}

mysqli操作預(yù)處理語句

雖說主流是PDO，而且大部分框架中使用的也是PDO，但我們在寫腳本，或者需要快速地測試一些功能的時候，還是會使用mysqli來快速地開發(fā)。當然，mysqli也是支持預(yù)處理語句相關(guān)功能的。

//mysqli預(yù)處理

$conn=newmysqli('127.0.0.1','root','','blog_test');

$username='one';

$stmt=$conn-prepare("selectusernamefromzyblog_test_userwhereusername=

$stmt-bind_param("s",$username);

$stmt-execute();

echo$stmt-bind_result($unames);

var_dump($unames);

while($stmt-fetch()){

printf("%s\n",$unames);

}

可以看出，mysqli除了方法名不同之外，綁定參數(shù)的鍵名也不完全的相同，這里我們使用的是問號占位，在bind_param()方法中，是使用s來表示符號位置，如果是多個參數(shù)，就要寫成sss...這樣。

總結(jié)

預(yù)處理語句的能力在現(xiàn)在的框架中都已經(jīng)幫我們封裝好了，其實我們并不需要太關(guān)心，就像Laravel中使用DB::select()進行數(shù)據(jù)庫操作時，我們就可以看到預(yù)處理語句的應(yīng)用。

大家可以自行查閱