0
這是一個從這個答案下評論,但我真的不弄明白他的意思:PHP在準備好的語句中引用時需要什麼時候?
How to change from mysql to pdo using prepared statements in PHP?
A
回答
1
當使用預處理語句你從來沒有逃避/報價爲DBMS字符串參數(解析器)手動。
評論與http://docs.php.net/pdo.prepared-statements:
準備好的語句非常有用,它們是PDO將爲不支持它們的驅動程序模擬的唯一功能。即,如果驅動程序不支持預處理語句,則PDO仍將公開api的準備語句部分,並將它們「翻譯」爲包含參數的sql語句(例如
INSERT INTO foo (x,y,z) values(1,2,3))。但它會透明地實現,即它會自動處理報價。
1
準備好的語句準備好了,因爲您爲PDO插入值創建了標記,並且可以命名這些值(例如,:accountId,:url),PDO將在其中找到指定的標記或位置(具體而言,是一個問號(?)),其中PDO將按照標記的放置順序插入值。
例如:
$query = "SELECT user_id FROM users WHERE username = ?";
$statement = $pdo->prepare($query);
$statement->execute(array("John Smith"));
通知的明顯缺乏命名參數(具體地,使用一個替代的:用戶名),和位置樣式來代替。儘管我發現在調試時使用命名參數更清晰,但純粹是個人選擇使用其中一種。
反正。這意味着如果您使用準備好的語句,則不必引用它,並且在使用準備好的語句時不必擔心SQL注入。
現在真正發生的是PDO要求數據庫驅動程序(MySQL,PostgreSQL,MS SQL,Oracle等)準備語句,但是如果數據庫驅動程序無法準備,PDO將模擬該功能。在這裏事情開始變得令人困惑,但你可以放心地忘記它,只記得使用帶有參數的準備好的語句。
+0
MySQL **如何準備**它? – user198729
+0
它解析語句,查找可以添加參數的位置,準備查詢計劃,....然後它向客戶端返回一個標識符。客戶端然後可以發送標識符+參數數據並執行語句。 – VolkerK
相關問題
- 1. 什麼時候最好使用預準備語句
- 2. PHP:準備好的語句,IF語句需要幫助
- 3. 準備好語句,同時提取準備好的語句
- 4. PHP在準備好的語句中準備了語句
- 5. 什麼時候需要引用document.getElementByID?
- 6. 什麼時候會話狀態準備好在asp.net中使用
- 7. FindBugs說我需要「使用準備好的語句」?怎麼樣?
- 8. mysqli準備好的語句是什麼?
- 9. Application.DoEvents,什麼時候需要,什麼時候不需要?
- 10. 準備好的語句需要在mysql中重新編寫
- 11. 使用準備好的語句時的預定義語句
- 12. 什麼時候你需要導入PHP?
- 13. 什麼時候需要CAMLparamX?
- 14. 什麼時候需要pygame.init()?
- 15. 什麼時候需要NSCopying?
- 16. 什麼時候需要NS_RETURNS_RETAINED?
- 17. 什麼時候需要「javascript:...」?
- 18. 什麼時候需要TransactionScopeOption.Supress?
- 19. 什麼時候需要dynamic_cast?
- 20. 什麼時候需要curl_global_init()?
- 21. 什麼時候使用GWT,什麼時候不需要
- 22. 我們什麼時候需要Python導入語句?
- 23. PHP檢查在if語句中準備好的語句
- 24. 什麼時候是andengine準備好registerEntityModifier調用?
- 25. 什麼時候在C++中需要'int'?
- 26. MySQL準備好的語句是否仍然需要使用mysql_escape_string
- 27. PDO和PHP/MySQL:PDO準備好的語句有什麼問題?
- 28. PHP - 準備好的語句錯誤,出了什麼問題?
- 29. 我們什麼時候需要在Clojure中引用列表?
- 30. 運行準備好的語句(MySQL/PHP)
如果您使用$ dbh-> query(),您仍然需要引用它,因爲它不是準備好的語句(與PDO類相關) – axsuul