1. php 什麼是序列化
string serialize ( mixed value )
serialize() 返回字元串,此字元串包含了表示 value 的位元組流,可以存儲於任何地方。
這有利於存儲或傳遞 PHP 的值,同時不丟失其類型和結構。
想要將已序列化的字元串變回 PHP 的值,可使用 unserialize()。serialize() 可處理除了 resource 之外的任何類型。甚至可以 serialize() 那些包含了指向其自身引用的數組。你正 serialize() 的數組/對象中的引用也將被存儲。
當序列化對象時,PHP 將試圖在序列動作之前調用該對象的成員函數 __sleep()。這樣就允許對象在被序列化之前做任何清除操作。類似的,當使用 unserialize() 恢復對象時, 將調用 __wakeup() 成員函數。
注: 在 PHP 3 中,對象屬性將被序列化,但是方法則會丟失。PHP 4 打破了此限制,可以同時存儲屬性和方法。請參見類與對象中的序列化對象部分獲取更多信息。
例子 1. serialize() 示例
<?php
// $session_data 是包含了當前用戶 session 信息的多維數組。
// 我們使用 serialize() 在請求結束之前將其存儲到資料庫中。
$conn = odbc_connect ("webdb", "php", "chicken");
$stmt = odbc_prepare ($conn,
"UPDATE sessions SET data = ? WHERE id = ?");
$sqldata = array (serialize($session_data), $PHP_AUTH_USER);
if (!odbc_execute ($stmt, &$sqldata)) {
$stmt = odbc_prepare($conn,
"INSERT INTO sessions (id, data) VALUES(?, ?)");
if (!odbc_execute($stmt, &$sqldata)) {
/* 出錯 */
}
}
?>
2. php登錄頁面完整代碼連接資料庫
創建conn.php,連接資料庫。
$dns = 'mysql:host=127.0.0.1;dbname=test';
$username = 'root';
$password = 'root';
// 1.連接資料庫,創建PDO對象
$pdo = new PDO($dns,$username,$password);
創建login.html,登陸頁面。
用戶名
密 碼
創建login.php,驗證賬號密碼。
header("Content-Type: text/html; charset=utf8");
if(!isset($_POST["submit"])){
exit("錯誤執行");
}//檢測是否有submit操作
include('conn.php');//鏈接資料庫
$name = $_POST['name'];//post獲得用戶名表單值
$pwd = sha1($_POST['password']);//post獲得用戶密碼單值
if ($name && $pwd){//如果用戶名和密碼都不為空
$sql = "select * from user where username = '$name' and password='$pwd'";//檢測資料庫是否有對應的username和password的sql
$stmt = $pdo->prepare($sql);
$stmt->execute();
if($stmt->fetch(PDO::FETCH_BOUND)){//0 false 1 true
header("refresh:0;url=welcome.html");//如果成功跳轉至welcome.html頁面
exit;
}else{
echo "用戶名或密碼錯誤";
echo "
setTimeout(function(){window.location.href='login.html';},1000);
";//如果錯誤使用js 1秒後跳轉到登錄頁面重試;
}
}else{//如果用戶名或密碼有空
echo "表單填寫不完整";
echo "
setTimeout(function(){window.location.href='login.html';},1000);
";
//如果錯誤使用js 1秒後跳轉到登錄頁面重試;
}
$pdo = null;
創建signup.html,注冊頁面
用戶名:
密 碼:
創建signup.php
header("Content-Type: text/html; charset=utf8");
if(!isset($_POST['submit'])){
exit("錯誤執行");
}//判斷是否有submit操作
$name=$_POST['name'];//post獲取表單里的name
$pwd = sha1($_POST['password']);//post獲取表單里的password
include('conn.php');//鏈接資料庫
$sql="insert into user(id,username,password) values (null,'$name','$pwd')";//向資料庫插入表單傳來的值的sql
$stmt = $pdo->prepare($sql);
$stmt->execute();
$stmt->fetch(PDO::FETCH_BOUND);
if (!$stmt){
die('Error: ' . $stmt->getMessage());//如果sql執行失敗輸出錯誤
}else{
echo "注冊成功";//成功輸出注冊成功
}
$pdo = null;//關閉資料庫
3. php 這段話為什麼錯了 返回結果數組是空啊
程序有錯,你連續兩次fetch,相當於跳過一條才顯示,所以為空,下面的語句段:
echo?$sql;
$res?=?mysql_query($sql);
$row?=?mysql_fetch_array($res);
if($row)
{
while($row?=?mysql_fetch_array($res))
var_mp($row);
}
else
{
echo?"error".mysql_error();
echo?"error";
}需要修改為:
echo?$sql;
$res?=?mysql_query($sql);
if($res)
{
????while($row?=?mysql_fetch_array($res))
????var_mp($row);
}
else
{
????echo?"error".mysql_error();
????echo?"error";
}
4. PHP面向對象 ->的用法
$stmt 是個變數,具體是什麼類型的變數,要看你的$db->prepare 返回的是什麼類型的數據。也就是可以是對象變數也可以是其他類型的變數。
在PHP里,變數的數據類型是可變的,舉例來說,前面你賦值數字56,後面就可以賦值 text。
從代碼的字面理解,通常,以對象方式調用prepare 函數返回的是一個 Mixed 類型的數據。
上面的代碼中:
$stmt=$db->prepare($query);
$stmt=bind_param("sssd",$isbn,$author,$title,$price);
這兩句貌似與PHP手冊里有些區別,但因為也可能是自己寫的過程定義,你可參照看:
$stmt=$mysqli->prepare("(?,?,?,?)");
$stmt->bind_param('sssd',$code,$language,$official,$percent);//注意此句調用
$code='DEU';
$language='Bavarian';
$official="F";
$percent=11.2;
/*executepreparedstatement*/
$stmt->execute();
printf("%dRowinserted.
",$stmt->affected_rows);
/*closestatementandconnection*/
$stmt->close();
5. PHP中$stmt是什麼意思
是這樣理解的。
創建預處理語句$stmt=mysqli_stmt_init($con); mysqli_stmt預處理類 的意思。
6. php 普通sql語句,處理成預處理語句
PHP MySQL 預處理語句
預處理語句對於防止 MySQL 注入是非常有用的。
預處理語句及綁定參數
預處理語句用於執行多個相同的 SQL 語句,並且執行效率更高。
預處理語句的工作原理如下:
預處理:創建 SQL 語句模板並發送到資料庫。預留的值使用參數 "?" 標記 。例如:
INSERT
INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)
資料庫解析,編譯,對SQL語句模板執行查詢優化,並存儲結果不輸出。
執行:最後,將應用綁定的值傳遞給參數("?" 標記),資料庫執行語句。應用可以多次執行語句,如果參數的值不一樣。
相比於直接執行SQL語句,預處理語句有兩個主要優點:
預處理語句大大減少了分析時間,只做了一次查詢(雖然語句多次執行)。
綁定參數減少了伺服器帶寬,你只需要發送查詢的參數,而不是整個語句。
預處理語句針對SQL注入是非常有用的,因為參數值發送後使用不同的協議,保證了數據的合法性。
MySQLi 預處理語句
以下實例在 MySQLi 中使用了預處理語句,並綁定了相應的參數:
實例 (MySQLi 使用預處理語句)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 創建連接
$conn = new mysqli($servername, $username, $password, $dbname);
// 檢測連接
if ($conn->connect_error) {
die("連接失敗: " . $conn->connect_error);
}
// 預處理及綁定
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// 設置參數並執行
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();
echo "新記錄插入成功";
$stmt->close();
$conn->close();
?>
解析以下實例的每行代碼:
"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"
在 SQL 語句中,我們使用了問號 (?),在此我們可以將問號替換為整型,字元串,雙精度浮點型和布爾值。
接下來,讓我們來看下 bind_param() 函數:
$stmt->bind_param("sss", $firstname, $lastname, $email);
該函數綁定了 SQL 的參數,且告訴資料庫參數的值。 "sss" 參數列處理其餘參數的數據類型。s 字元告訴資料庫該參數為字元串。
參數有以下四種類型:
i - integer(整型)
d - double(雙精度浮點型)
s - string(字元串)
b - BLOB(binary large object:二進制大對象)
每個參數都需要指定類型。
通過告訴資料庫參數的數據類型,可以降低 SQL 注入的風險。
注意: 如果你想插入其他數據(用戶輸入),對數據的驗證是非常重要的。
PDO 中的預處理語句
以下實例我們在 PDO 中使用了預處理語句並綁定參數:
實例 (PDO 使用預處理語句)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 設置 PDO 錯誤模式為異常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 預處理 SQL 並綁定參數
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// 插入行
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();
// 插入其他行
$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();
// 插入其他行
$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();
echo "新記錄插入成功";
}
catch(PDOException $e)
{
echo $sql . "<br>" . $e->getMessage();
}
$conn = null;
?>
7. php中用參數傳遞的pdo查詢語句怎麼寫
方法 bindParam() 和 bindValue() 非常相似。
唯一的區別就是前者使用一個PHP變數綁定參數,而後者使用一個值。
所以使用bindParam是第二個參數只能用變數名,而不能用變數值,而bindValue至可以使用具體值。
復制代碼 代碼如下:
$stm = $pdo->prepare("select * from users where user = :user");
$user = "jack";
//正確
$stm->bindParam(":user",$user);
//錯誤
//$stm->bindParam(":user","jack");
//正確
$stm->bindValue(":user",$user);
//正確
$stm->bindValue(":user","jack");
另外在存儲過程中,bindParam可以綁定為input/output變數,如下面:
復制代碼 代碼如下:
$stm = $pdo->prepare("call func(:param1)");
$param1 = "abcd";
$stm->bindParam(":param1",$param1); //正確
$stm->execute();
存儲過程執行過後的結果可以直接反應到變數上。
對於那些內存中的大數據塊參數,處於性能的考慮,應優先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
參數化查詢
參數化查詢(Parameterized Query 或 Parameterized Statement)是指在設計與資料庫連結並訪問數據時,在需要填入數值或數據的地方,使用參數 (Parameter) 來給值,這個方法目前已被視為最有效可預防SQL注入攻擊 (SQL Injection) 的攻擊手法的防禦方式。有部份的開發人員可能會認為使用參數化查詢,會讓程序更不好維護,或者在實現部份功能上會非常不便[來源請求],然而,使用參數化查詢造成的額外開發成本,通常都遠低於因為SQL注入攻擊漏洞被發現而遭受攻擊,所造成的重大損失。
除了安全因素,相比起拼接字元串的 SQL 語句,參數化的查詢往往有性能優勢。因為參數化的查詢能讓不同的數據通過參數到達資料庫,從而公用同一條 SQL 語句。大多數資料庫會緩存解釋 SQL 語句產生的位元組碼而省下重復解析的開銷。如果採取拼接字元串的 SQL 語句,則會由於操作數據是 SQL 語句的一部分而非參數的一部分,而反復大量解釋 SQL 語句產生不必要的開銷。
目錄
* 1 原理
* 2 SQL 指令撰寫方法
o 2.1 Microsoft SQL Server
o 2.2 Microsoft Access
o 2.3 MySQL
o 2.4 PostgreSQL/SQLite
* 3 客戶端程序撰寫方法
o 3.1 ADO.NET
o 3.2 PDO
o 3.3 JDBC
o 3.4 Cold Fusion
[編輯] 原理
在使用參數化查詢的情況下,資料庫伺服器不會將參數的內容視為SQL指令的一部份來處理,而是在資料庫完成 SQL 指令的編譯後,才套用參數運行,因此就算參數中含有具破壞性的指令,也不會被資料庫所運行。
[編輯] SQL 指令撰寫方法
在撰寫 SQL 指令時,利用參數來代表需要填入的數值,例如:
[編輯] Microsoft SQL Server
Microsoft SQL Server 的參數格式是以 "@" 字元加上參數名稱而成,SQL Server 亦支持匿名參數 "?"。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)
[編輯] Microsoft Access
Microsoft Access 不支持具名參數,只支持匿名參數 "?"。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[編輯] MySQL
MySQL 的參數格式是以 "?" 字元加上參數名稱而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[編輯] PostgreSQL/SQLite
PostgreSQL 和 SQLite 的參數格式是以 「:」 加上參數名而成。當然,也支持類似 Access 的匿名參數。
UPDATE "myTable" SET "c1" = :c1, "c2" = :c2, "c3" = :c3 WHERE "c4" = :c4
[編輯] 客戶端程序撰寫方法
在客戶端代碼中撰寫使用參數的代碼,例如:
[編輯] ADO.NET
ADO.NET用於ASP.NET之內。
SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); // 設定參數 @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); // 設定參數 @c2 的值。
sqlcmd.Parameters.AddWithValue("@c3", 3); // 設定參數 @c3 的值。
sqlcmd.Parameters.AddWithValue("@c4", 4); // 設定參數 @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[編輯] PDO
PDO用於PHP之內。 在使用 PDO 驅動時,參數查詢的使用方法一般為:
復制代碼 代碼如下:
// 實例化數據抽象層對象
$db = new PDO('pgsql:host=127.0.0.1;port=5432;dbname=testdb');
// 對 SQL 語句執行 prepare,得到 PDOStatement 對象
$stmt = $db->prepare('SELECT * FROM "myTable" WHERE "id" = :id AND "is_valid" = :is_valid');
// 綁定參數
$stmt->bindValue(':id', $id);
$stmt->bindValue(':is_valid', true);
// 查詢
$stmt->execute();
// 獲取數據
foreach($stmt as $row) {
var_mp($row);
}
[code]
對於 MySQL 的特定驅動,也可以這樣使用:
$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();
值得注意的是,以下方式雖然能有效防止 SQL注入 (歸功於 mysql_real_escape_string 函數的轉義),但並不是真正的參數化查詢。其本質仍然是拼接字元串的 SQL 語句。
[code]
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);
[編輯] JDBC
JDBC用於java之內。
java.sql.PreparedStatement prep = connection.prepareStatement(
"SELECT * FROM `users` WHERE USERNAME = ? AND PASSWORD = ?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
[編輯] Cold Fusion
<cfquery name="Recordset1" datasource="cafetownsend">
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">
</cfquery>
8. php預處理執行為什麼
預處理語句與存儲過程 :
很多更成熟的資料庫都支持預處理語句的概念。什麼是預處理語句?可以把它看作是想要運行的 SQL 的一種編譯過的模板,它可以使用變數參數進行定製。預處理語句可以帶來兩大好處:
查詢僅需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢准備好後,資料庫將分析、編譯和優化執行該查詢的計劃。對於復雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重復相同的查詢,那麼該過程將大大降低應用程序的速度。通過使用預處理語句,可以避免重復分析/編譯/優化周期。簡言之,預處理語句佔用更少的資源,因而運行得更快。
提供給預處理語句的參數不需要用引號括起來,驅動程序會自動處理。如果應用程序只使用預處理語句,可以確保不會發生SQL 注入。(然而,如果查詢的其他部分是由未轉義的輸入來構建的,則仍存在 SQL 注入的風險)。
預處理語句如此有用,以至於它們唯一的特性是在驅動程序不支持的時PDO 將模擬處理。這樣可以確保不管資料庫是否具有這樣的功能,都可以確保應用程序可以用相同的數據訪問模式。
Example #1 用預處理語句進行重復插入
下面例子通過用name和value替代相應的命名佔位符來執行一個插入查詢
<?php
$stmt=$dbh->prepare("INSERTINTOREGISTRY(name,value)VALUES(:name,:value)");
$stmt->bindParam(':name',$name);
$stmt->bindParam(':value',$value);
//插入一行
$name='one';
$value=1;
$stmt->execute();
//用不同的值插入另一行
$name='two';
$value=2;
$stmt->execute();
?>
Example #2 用預處理語句進行重復插入
下面例子通過用name和value取代?佔位符的位置來執行一條插入查詢。
<?php
$stmt=$dbh->prepare("INSERTINTOREGISTRY(name,value)VALUES(?,?)");
$stmt->bindParam(1,$name);
$stmt->bindParam(2,$value);
//插入一行
$name='one';
$value=1;
$stmt->execute();
//用不同的值插入另一行
$name='two';
$value=2;
$stmt->execute();
?>
Example #3 使用預處理語句獲取數據
下面例子獲取數據基於鍵值已提供的形式。用戶的輸入被自動用引號括起來,因此不會有 SQL 注入攻擊的危險。
<?php
$stmt=$dbh->prepare("SELECT*FROMREGISTRYwherename=?");
if($stmt->execute(array($_GET['name']))){
while($row=$stmt->fetch()){
print_r($row);
}
}
?>
如果資料庫驅動支持,應用程序還可以綁定輸出和輸入參數.輸出參數通常用於從存儲過程獲取值。輸出參數使用起來比輸入參數要稍微復雜一些,因為當綁定一個輸出參數時,必須知道給定參數的長度。如果為參數綁定的值大於建議的長度,就會產生一個錯誤。
Example #4 帶輸出參數調用存儲過程
<?php
$stmt=$dbh->prepare("CALLsp_returns_string(?)");
$stmt->bindParam(1,$return_value,PDO::PARAM_STR,4000);
//調用存儲過程
$stmt->execute();
print"procerereturned$return_value ";
?>
還可以指定同時具有輸入和輸出值的參數,其語法類似於輸出參數。在下一個例子中,字元串「hello」被傳遞給存儲過程,當存儲過程返回時,hello 被替換為該存儲過程返回的值。
Example #5 帶輸入/輸出參數調用存儲過程
<?php
$stmt=$dbh->prepare("CALLsp_takes_string_returns_string(?)");
$value='hello';
$stmt->bindParam(1,$value,PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT,4000);
//調用存儲過程
$stmt->execute();
print"procerereturned$value ";
?>
Example #6 佔位符的無效使用
<?php
$stmt=$dbh->prepare("SELECT*FROMREGISTRYwherenameLIKE'%?%'");
$stmt->execute(array($_GET['name']));
//佔位符必須被用在整個值的位置
$stmt=$dbh->prepare("SELECT*FROMREGISTRYwherenameLIKE?");
$stmt->execute(array("%$_GET[name]%"));
?>
9. php 數組序列化
mixed unserialize ( string str [, string callback] )
unserialize() 對單一的已序列化的變數進行操作,將其轉換回 PHP 的值。返回的是轉換之後的值,可為 integer、float、string、array 或 object。如果傳遞的字元串不可解序列化,則返回 FALSE。
unserialize_callback_func 指令: 如果在解序列化的時候需要實例化一個未定義類,則可以設置回調函數以供調用(以免得到的是不完整的 object 「__PHP_Incomplete_Class」)。可通過 php.ini、ini_set() 或 .htaccess 定義『unserialize_callback_func』。每次實例化一個未定義類時它都會被調用。若要禁止這個特性,只需置空此設定。還需要注意的是 unserialize_callback_func 指令是從 PHP 4.2.0 開始提供使用的。
若被解序列化的變數是一個對象,在成功地重新構造對象之後,PHP 會自動地試圖去調用 __wakeup() 成員函數(如果存在的話)。 例子 1. unserialize_callback_func 示例
<?php
$serialized_object='O:1:"a":1:{s:5:"value";s:3:"100";}';
// unserialize_callback_func 從 PHP 4.2.0 起可用
ini_set('unserialize_callback_func','mycallback'); // 設置您的回調函數
function mycallback($classname) {
// 只需包含含有類定義的文件
// $classname 指出需要的是哪一個類
}
?>
<?php
// 這里,我們使用 unserialize() 裝載來自資料庫的 $session_data 數組中的會話數據。
// 此例是描述 serialize() 的那個例子的補充。
$conn = odbc_connect ("webdb", "php", "chicken");
$stmt = odbc_prepare ($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array ($PHP_AUTH_USER);
if (!odbc_execute ($stmt, &$sqldata) || !odbc_fetch_into ($stmt, &$tmp)) {
// 如果執行出錯或返回錯誤,則初始化為空數組
$session_data = array();
} else {
// 現在我們需要的是 $tmp[0] 中已序列化的數據。
$session_data = unserialize ($tmp[0]);
if (!is_array ($session_data)) {
// 出錯,初始化為空數組
$session_data = array();
}
}
?>