$q="insert into usermessage(name,password)values(\"$username\",\"$password\")";
$r=mysqli_query($dbc,$q);
像这种查询语句,整个查询(包括sql语法和具体的值)都会作为一个长字符串发送到mysql,然后mysql分析并且执行它。若使用预处理语句,sql语法首先被发送到mysql解析,确保他在语法上是有效的,然后单独发送特定的值。Mysql使用这些值进行组合查询,然后执行它。以上语句用预处理语句写应该是这样的。
mysql预处理语句总体过程:
1 . 使用 mysqli 中的 prepare()预置语句, 执行成功时返回语句对象,若出错则返回 false
$q="insert into usermessage(name,password)values(?,?)";
$stmt=mysqli_prepare($dbc,$q);
2 .使用bind_param语句绑定参数。即将在预处理语句中使用占位符号问号(?)表示的各有关参数,绑定到一些 PHP 变量上,一定要注意它们的先后顺序是否正确。这样就可以将需要传递给 SQL 语句的参数传递到 MySQL 服务器端,并等待执行。
$mysqli_stmt_bind_param($stmt,’ss’,$username,$password);
其中,参数的类型有以下四种:
i :int 整型
d:Double 型
s :String 型
b :二进制数据类型(BLOB、二进制字节串) 文件、图片等
3.执行预准备语句 mysqli_stmt_execute( ):执行一个已使用
mysqli_prepare()功能先前准备的查询。当执行任何带参数标记的语句时,将自动以相应的数据取代设定变量值。
mysqli_stmt_execute($stmt)
4,对运行结果做相关处理
如果语句是update,delete,insert,可以通过使用mysqli_stmt_affected_rows()函数确定受影响的行的总数。如果执行的是select,结果集可以通过mysqli_stmt_tetch()系列函数使用。
mysql预处理语句实例:
1.insert语句
$q='insert into usermessage(name,password,email)values(?,?,?)';
$stmt=mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'sss',$name,$password,$email);
$name="syjane";
$password="123456";
$email="123@qq.com";
mysqli_stmt_execute($stmt);
if(mysqli_stmt_affected_rows($stmt)==1){
echo "insert success";
}else{
echo "insert fail";
}
mysqli_stmt_close($stmt);
mysqli_close($dbc);
2.update语句
$dbc=mysqli_connect('127.0.0.1', 'root','123456','todolist');
$q='update usermessage set password=? where user_id=?';
$stmt=mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'si',$password,$user_id);
$password="123456sy";
$user_id=456;
mysqli_stmt_execute($stmt);
if(mysqli_stmt_affected_rows($stmt)==1){
echo "update success";
}else{
echo "update fail";
}
mysqli_stmt_close($stmt);
mysqli_close($dbc);
3.delete语句
$dbc=mysqli_connect('127.0.0.1', 'root','123456','todolist');
$q='delete from listmessage where list_id=?';
$stmt=mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'i',$list_id);
$list_id=123;
mysqli_stmt_execute($stmt);
if(mysqli_stmt_affected_rows($stmt)==1){
echo "delete success";
}else{
echo "delete fail";
}
mysqli_stmt_close($stmt);
mysqli_close($dbc);
以上,insert,update,delete语句在使用的时候,几乎相同。这是因为我们希望知道的就是语句是否执行成功,而mysqli_stmt_affected_rows()函数可以返回受影响的行的总数。具体受影响的行数与where条件有关,一般条件下,不为0即代表执行成功。
4.select语句
$dbc=mysqli_connect('127.0.0.1', 'root','123456','todolist');
$q='select content,list_id from listmessage where user_id=?';
$stmt=mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'i',$user_id);
$user_id=$user_id_from_user;
mysqli_stmt_execute($stmt);
mysqli_stmt_store_result($stmt);
mysqli_stmt_bind_result($stmt,$content,$list_id);
if(mysqli_stmt_affected_rows($stmt)==1){
while(mysqli_stmt_fetch($stmt)){
$list['content']=$content;
$list['list_id']=$list_id;
$list_merge[]=$list;
}
$list_json=json_encode($list_merge);
return $list_json;;
}else{
echo "select fail";
}
mysqli_stmt_close($stmt);
mysql_close($dbc);
1).store_result()方法:取回所有查询结果,成功时返回 TRUE, 或者在失败时返回 false。
store_result()方法可以把MySQL 服务器上的所有结果一次全部传回到 PHP 程序中。这样做不仅更有效率,而且能减轻服务器的负担。store_result()方法是可选的,除了读取数据不改变任何东西。
2).affected_rows/num_rows 属性:获取查询结果的记录数 ,如果获取 SELECT 语句查找到了多少条记录,可以从 mysqli_stmt 对象中的 affected_rows/num_rows 属性中检索出来。但是,这个属性只有在提前执行过 store_result()方法,将全部查询结果传回到 PHP 程 序中的情况下才可以使用 。
3).绑定结果集 bind_result()
默认情况下,SELECT 查询结果将留在 MySQL 服务器上,等待 fetch()方法把记录逐条取回 到 PHP 程序中,bind_result()将结果集的参数表绑定到自定义变量上.该绑定语句必须放在执行 mysqli_stmt_execute()之后,mysqli_stmt_fetch()之前。
4).fetch():从 mysqli_stmt_bind_result()绑定的变量中提取结果,如果成功地读入下一条记录 fetch()方法返回 true,否则返回 false,或者已经读完所有 的结果记录返回 false。
网友评论