PHP MySQL 准备语句mysqli_prepare()

 PHP MySQL

预准备语句是一种用于高效重复执行相同（或相似）SQL 语句的功能。

mysqli_prepare() 函数用于准备语句。准备好的语句是一个 SQL 语句模板，其中某些未指定的值称为参数（标记为"?"）。例如:INSERT INTO Employee VALUES (?, ?, ?)。

数据库对SQL语句模板进行解析、编译、查询优化，并存储结果而不执行。稍后，应用程序在执行语句之前使用 mysqli_stmt_bind_param() 函数将值绑定到参数。应用程序可以使用不同的值多次执行该语句。

与直接执行 SQL 语句相比，预准备语句具有三个主要优点:

• 准备好的语句减少了解析时间，因为查询的准备工作只需完成一次（尽管该语句被执行多次）。
• 绑定参数最大限度地减少了服务器的带宽，因为您每次只需要发送参数，而不是整个查询。
• 准备好的语句对于防止 SQL 注入非常有用，因为稍后使用不同协议传输的参数值不需要正确转义。如果原始语句模板不是来自外部输入，则不会发生 SQL 注入。

准备语句 - 面向对象风格

下面的示例演示了如何准备语句使用面向对象的风格。

<?php
//建立与数据库的连接
$mysqli = new mysqli("localhost", "user", "password", "database");
if ($mysqli->connect_errno) {
  echo "Failed to connect to MySQL: ". $mysqli->connect_error;
  exit();
}

//准备执行SQL语句
$query = "INSERT INTO Employee (Name, City, Salary) VALUES (?, ?, ?)";
$stmt = $mysqli->prepare($query);

//绑定参数
$stmt->bind_param('ssd', $name, $city, $salary);

//设置参数并执行
$name = "John";
$city = "London";
$salary = 2800;
$stmt->execute();

$name = "Marry";
$city = "Paris";
$salary = 2850;
$stmt->execute();

echo "Records inserted successfully.";

//关闭连接
$mysqli->close();
?> 

上述代码的输出将是:

Records inserted successfully. 

准备语句 - 面向过程风格

使用面向过程也可以实现相同的效果使用以下脚本的样式:

<?php
//建立与数据库的连接
$mysqli = mysqli_connect("localhost", "user", "password", "database");
if (mysqli_connect_errno()) {
  echo "Failed to connect to MySQL: ". mysqli_connect_error();
  exit();
}

//准备执行SQL语句
$query = "INSERT INTO Employee (Name, City, Salary) VALUES (?, ?, ?)";
$stmt = mysqli_prepare($mysqli, $query);

//绑定参数
mysqli_stmt_bind_param($stmt, 'ssd', $name, $city, $salary);

//设置参数并执行
$name = "John";
$city = "London";
$salary = 2800;
mysqli_stmt_execute($stmt);

$name = "Marry";
$city = "Paris";
$salary = 2850;
mysqli_stmt_execute($stmt);

echo "Records inserted successfully.";

//关闭连接
mysqli_close($mysqli);
?> 

上述代码的输出将是:

Records inserted successfully. 

完整 PHP MySQLi 参考

所有属性、方法的完整参考PHP MySQLi 扩展的功能和功能请参见 PHP MySQLi 参考。