phpbindvalue

Ⅰ php中用參數傳遞的pdo查詢語句怎麼寫

方法 bindParam() 和 bindValue() 非常相似。
唯一的區別就是前者使用一個PHP變數綁定參數，而後者使用一個值。
所以使用bindParam是第二個參數只能用變數名，而不能用變數值，而bindValue至可以使用具體值。
復制代碼 代碼如下:

$stm = $pdo->prepare("select * from users where user = :user");
$user = "jack";
//正確
$stm->bindParam(":user",$user);
//錯誤
//$stm->bindParam(":user","jack");
//正確
$stm->bindValue(":user",$user);
//正確
$stm->bindValue(":user","jack");

另外在存儲過程中，bindParam可以綁定為input/output變數，如下面：
復制代碼 代碼如下:

$stm = $pdo->prepare("call func(:param1)");
$param1 = "abcd";
$stm->bindParam(":param1",$param1); //正確
$stm->execute();

存儲過程執行過後的結果可以直接反應到變數上。
對於那些內存中的大數據塊參數，處於性能的考慮，應優先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
參數化查詢
參數化查詢（Parameterized Query 或 Parameterized Statement）是指在設計與資料庫連結並訪問數據時，在需要填入數值或數據的地方，使用參數 (Parameter) 來給值，這個方法目前已被視為最有效可預防SQL注入攻擊 (SQL Injection) 的攻擊手法的防禦方式。有部份的開發人員可能會認為使用參數化查詢，會讓程序更不好維護，或者在實現部份功能上會非常不便[來源請求]，然而，使用參數化查詢造成的額外開發成本，通常都遠低於因為SQL注入攻擊漏洞被發現而遭受攻擊，所造成的重大損失。
除了安全因素，相比起拼接字元串的 SQL 語句，參數化的查詢往往有性能優勢。因為參數化的查詢能讓不同的數據通過參數到達資料庫，從而公用同一條 SQL 語句。大多數資料庫會緩存解釋 SQL 語句產生的位元組碼而省下重復解析的開銷。如果採取拼接字元串的 SQL 語句，則會由於操作數據是 SQL 語句的一部分而非參數的一部分，而反復大量解釋 SQL 語句產生不必要的開銷。
目錄
* 1 原理
* 2 SQL 指令撰寫方法
o 2.1 Microsoft SQL Server
o 2.2 Microsoft Access
o 2.3 MySQL
o 2.4 PostgreSQL/SQLite
* 3 客戶端程序撰寫方法
o 3.1 ADO.NET
o 3.2 PDO
o 3.3 JDBC
o 3.4 Cold Fusion
[編輯] 原理
在使用參數化查詢的情況下，資料庫伺服器不會將參數的內容視為SQL指令的一部份來處理，而是在資料庫完成 SQL 指令的編譯後，才套用參數運行，因此就算參數中含有具破壞性的指令，也不會被資料庫所運行。
[編輯] SQL 指令撰寫方法
在撰寫 SQL 指令時，利用參數來代表需要填入的數值，例如：
[編輯] Microsoft SQL Server
Microsoft SQL Server 的參數格式是以 "@" 字元加上參數名稱而成，SQL Server 亦支持匿名參數 "?"。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)
[編輯] Microsoft Access
Microsoft Access 不支持具名參數，只支持匿名參數 "?"。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[編輯] MySQL
MySQL 的參數格式是以 "?" 字元加上參數名稱而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[編輯] PostgreSQL/SQLite
PostgreSQL 和 SQLite 的參數格式是以 「:」 加上參數名而成。當然，也支持類似 Access 的匿名參數。
UPDATE "myTable" SET "c1" = :c1, "c2" = :c2, "c3" = :c3 WHERE "c4" = :c4
[編輯] 客戶端程序撰寫方法
在客戶端代碼中撰寫使用參數的代碼，例如：
[編輯] ADO.NET
ADO.NET用於ASP.NET之內。
SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); // 設定參數 @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); // 設定參數 @c2 的值。
sqlcmd.Parameters.AddWithValue("@c3", 3); // 設定參數 @c3 的值。
sqlcmd.Parameters.AddWithValue("@c4", 4); // 設定參數 @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[編輯] PDO
PDO用於PHP之內。 在使用 PDO 驅動時，參數查詢的使用方法一般為：
復制代碼 代碼如下:

// 實例化數據抽象層對象
$db = new PDO('pgsql:host=127.0.0.1;port=5432;dbname=testdb');
// 對 SQL 語句執行 prepare，得到 PDOStatement 對象
$stmt = $db->prepare('SELECT * FROM "myTable" WHERE "id" = :id AND "is_valid" = :is_valid');
// 綁定參數
$stmt->bindValue(':id', $id);
$stmt->bindValue(':is_valid', true);
// 查詢
$stmt->execute();
// 獲取數據
foreach($stmt as $row) {
var_mp($row);
}
[code]
對於 MySQL 的特定驅動，也可以這樣使用：
$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();
值得注意的是，以下方式雖然能有效防止 SQL注入 （歸功於 mysql_real_escape_string 函數的轉義），但並不是真正的參數化查詢。其本質仍然是拼接字元串的 SQL 語句。
[code]
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);

[編輯] JDBC
JDBC用於java之內。
java.sql.PreparedStatement prep = connection.prepareStatement(
"SELECT * FROM `users` WHERE USERNAME = ? AND PASSWORD = ?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
[編輯] Cold Fusion
<cfquery name="Recordset1" datasource="cafetownsend">
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">
</cfquery>

Ⅱ PHP7.0怎麼通過打開擴展功能和mysql相連

第一步：進入php源碼中的"ext/mysql"目錄下

第二步：在當前目錄下運行phpize命令：/usr/local/php524/bin/phpize

phpize的規則：去哪個目錄下運行phpize文件，那麼就會在該目錄下生成一個configure文件。

第三步：運行剛才生成的configure文件

命令： ./configure --with-php-config=/usr/local/php524/bin/php-config --with-mysql=/usr/local/mysql/

這里最關鍵的是通過--with-mysql參數告訴mysql客戶端的位置。這樣才能生成mysql.so。

實驗的時候，沒有加這個參數，結果錯誤:

./configure --with-php-config=/usr/local/php524/bin/php-config

第四步：編譯生成.so文件

第五步：配置php引擎載入該擴展。

補充一下：就是去php.ini文件中修改一下配置，載入mysql.so這個擴展(這個擴展文件要放到php指定的擴展目錄下面去)

第六步：測試php引擎是否成功載入該擴展編寫文件phpinfo.php,內容是：<?phpehco phpinfo();?>

運行後，可以看到有如下信息顯示：mysqlMySQLSupport enabledActive PersistentLinks 0

Active Links 0

Client API version 5.1.55

MYSQL_MODULE_TYPE no value

MYSQL_SOCKET /tmp/mysql.sock

MYSQL_INCLUDE no value

MYSQL_LIBS no value

通過這樣的方式可以確認,php引擎已經成功載入了mysql.so擴展。

第七步：已經生成的mysql.so。編寫php代碼測試是否能連接mysql。

Ⅲ php pdo中PDOStatement 類的bindParam和bindValue方法的區別

在PDOStatement 類中兩種方法的具體說明如下

bool PDOStatement::bindParam ( mixed $parameter , mixed &$variable [, int $data_type = PDO::PARAM_STR [, int $length [, mixed $driver_options ]]] )bool PDOStatement::bindValue ( mixed $parameter , mixed $value [, int $data_type = PDO::PARAM_STR ] )

區別1：bindParam是綁定一個參數到指定的變數名，bindValue則是把一個值綁定到一個參數
$db = new PDO('mysql:host=localhost;dbname=dbtest;charset=utf8','user','pass');$st = $db->prepare('select * from tabletest where id = ?');$id = 1;$st->bindParam(1,$id,PDO::PARAM_INT);//$st->bindValue(1,$id,PDO::PARAM_INT);
在上述代碼中，不管是bindParam或者bindValue，都能夠正常執行，但是如果換成如下代碼$db = new PDO('mysql:host=localhost;dbname=dbtest;charset=utf8','user','pass');$st = $db->prepare('select * from tabletest where id = ?');$st->bindParam(1,1,PDO::PARAM_INT);//$st->bindValue(1,1,PDO::PARAM_INT);

bindParam就會報如下錯誤，但是bindValue卻可以正常執行
Fatal error: Cannot pass parameter 2 by reference
總結：bindParam第二個參數有且只能是一個變數名， 不能是一個具體的值，bindValue既可以綁定一個變數名，又可以綁定一個值

區別2：不同於 PDOStatement::bindValue()，PDOStatement::bindParam()中的變數作為引用被綁定，並只在 PDOStatement::execute() 被調用的時候才取其值
$db = new PDO('mysql:host=localhost;dbname=dbtest;charset=utf8','user','pass');$st = $db->prepare('select * from tabletest where id = ?');$id = 1;$st->bindParam(1,$id,PDO::PARAM_INT);$id = 2;$st->execute();$rs = $st->fetchAll();print_r($rs);
首先給$id賦值為1，bindParam綁定變數，在execute前，更改$id為2，然後進行執行操作，此時獲得的結果集是當id=2的時候的查詢結果，並非是id為1時的查詢結果，這就是變數作為引用的解釋，在execute之前，我們可以對此變數進行替換，而執行execute操作時候代入的變數值，是該變數最後一次更改的值。$db = new PDO('mysql:host=localhost;dbname=dbtest;charset=utf8','user','pass');$st = $db->prepare('select * from tabletest where id = ?');$id = 1;$st->bindValue(1,$id,PDO::PARAM_INT);$id = 2;$st->execute();$rs = $st->fetchAll();print_r($rs);

而bindValue則不同，在使用bindValue綁定變數後，即使在執行execute之前改變了該變數的值，那麼結果也不會變。例如上例中即使我們把$id改為了2，但是最後執行的結果仍然會輸出$id
=1時候的結果，因為bindValue綁定的並非是變數的引用，不會隨著變數的更改而更改。
雖然兩者都能完成sql參數的綁定，但是兩者仍然有區別，在實際應用中，我們應該選擇適合我們的，下面舉一個bindParam使用不當的例子
假設有一個數據表有整形id和字元串型name兩個欄位，有一數組數據$params = array(1,'張三')准備使用預處理進行插入，具體代碼如下
$db = new PDO('mysql:host=localhost;dbname=dbtest;charset=utf8','user','pass');$st = $db->prepare('insert into tabletest(id,name) values(?,?)');$params = array(1,'張三');foreach($params as $k => $v){ $index = $k + 1; $st->bindParam($index,$v);}$st->execute();
正常情況被執行的sql語句應該是insert into tabletest(id,name) values(1,'張三');
其實真正執行的sql語句卻是insert into tabletest(id,name) values('男','男');

究其原因就是bindParam中的變數作為了引用被綁定，因此最後每個欄位插入的數值都變成了最後一個欄位的值，而此時我們使用bindValue就不會出現這種問題了。此例中還有一點需要說明的是如果使用的是問號佔位符和索引數組結合，特別需要注意bindValue的參數標識符（該方法的第一個參數），索引數組默認從0開始，而bindValue的參數標識符是以1開始，如果直接套入索引數組的0下標，那麼程序就會報錯，使用的時候一定需要注意。

Ⅳ php如何防止sql注入

PHP防止sql注入是一個比較低級的問題了，這個問題其實在我大一上學期做第一個個人博客的時候就已經關注過了，不過簡單的說一下關於PHP防注入的方式吧。

對於現在的防注入技術其實已經成熟了，對於一個站點該關心的不是防注入了，而是大規模高並發如何處理的問題，或者關於各種其他漏洞，比如現在世界上仍然有百分之80使用redis的站點存在redis漏洞，通過redis漏洞可以直接拿到機器的訪問許可權，一般來說都是直接給你種一個挖礦機器人來。

Ⅳ php的PDO類中bindValue和bindParam的區別

1、bindParam是綁定一個參數到指定的變數名
bindValue則是把一個值綁定到一個參數
2、bindParam第二個參數有且只能是一個變數名， 不能是一個具體的值
bindValue既可以綁定一個變數名，又可以綁定一個值
3、不同於 PDOStatement::bindValue()，PDOStatement::bindParam()中的變數作為引用被綁定，並只在 PDOStatement::execute() 被調用的時候才取其值

Ⅵ php為什麼刪除不了資料庫中表內數據

$sql='DELETEFROMjokeWHEREid='.$_POST['id'];

sql語句應該象上面這樣寫吧？你echo $sql 看看，是不是正確。

Ⅶ 怎麼安裝php的mysql擴展

你試試這樣行不行PHP7 正式移除了 mysql 擴展 目前可以使用mysqlnd和mysql mysqli pdo_mysql 關系打比方說 mysqlnd是金屬，而mysql mysqli pdo_mysql只是金屬製品而已 使用PDO連接mysql的格式： $pdo = new PDO('mysql:host=localhost;dbname=database_name;port=3306','用戶名','密碼'); $pdo->exec('set names utf8'); $stmt = $pdo->prepare("select * from table where id =:id"); $stmt->bindValue(':id',1,PDO::PARAM_INT); $stmt->execute(); $rows = $stmt->fetchAll(PDO::FETCH_ASSOC); $rows = $pdo->query("select * from table where id = 1")->fetchAll(PDO::FETCH_ASSOC);
，你看過後很簡單吧以後不會可以向我一樣經常到後盾人找找相關教材看看就會了，希望能幫到你，給個採納吧謝謝（✽＾㉨＾）

Ⅷ php的PDO類中bindValue和bindParam的區別

PDOStatement::bindParam —
綁定一個參數到指定的變數名

PDOStatement::bindValue —
把一個值綁定到一個參數
說白了一個是變數，一個是固定值