方法:bool PDOStatement::execute ([ array $input_parameters ] )

分为3步: 
1. 使用 prepare() 准备预处理SQL; 
2. 绑定参数或值; 
3. 调用 execute() 执行SQL。

其中后面两步可以合并。

 

预处理

 

执行一条问号占位符的预处理语句(占位符)

示例:

<?php

$calories = 150;

$colour = 'red';

$sth = $dbh->prepare('SELECT name, colour, calories

    FROM fruit

    WHERE calories < ? AND colour = ?');

$sth->bindParam(1, $calories, PDO::PARAM_INT);

$sth->bindParam(2, $colour, PDO::PARAM_STR, 12);

$sth->execute();

bindParam() 只有前两个参数是必选。第三个参数默认是 PDO::PARAM_STR 。

 

执行一条绑定变量的预处理语句(命名参数)

示例:

<?php

$calories = 150;

$colour = 'red';

$sth = $dbh->prepare('SELECT name, colour, calories

    FROM fruit

    WHERE calories < :calories AND colour = :colour');

$sth->bindParam(':calories', $calories, PDO::PARAM_INT);

$sth->bindParam(':colour', $colour, PDO::PARAM_STR, 12);

$sth->execute();

测试发现:使用命名参数绑定的时候, bindParam 第一个参数没写冒号,也可以执行的:

$sth->bindParam('calories', $calories, PDO::PARAM_INT);

$sth->bindParam('colour', $colour, PDO::PARAM_STR, 12);

但不建议这样写。

 

使用一个含有插入值的数组执行一条预处理语句(占位符)

示例:

<?php

$calories = 150;

$colour = 'red';

$sth = $dbh->prepare('SELECT name, colour, calories

    FROM fruit

    WHERE calories < ? AND colour = ?');

$sth->execute(array($calories, $colour));

数组里值一定要和SQL里参数顺序一致。

 

使用一个含有插入值的数组执行一条预处理语句(命名参数)

示例:

<?php

$calories = 150;

$colour = 'red';

$sth = $dbh->prepare('SELECT name, colour, calories

    FROM fruit

    WHERE calories < :calories AND colour = :colour');

$sth->execute(array(

    ':calories' => $calories,

    ':colour' => $colour

));

推荐使用这种方式。

 

bindParam() 和 bindValue()的区别

方法 bindParam()  和  bindValue()  非常相似,唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。

所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而 bindValue() 至可以使用具体值。

示例:

<?php

$calories = 150;

$colour = 'red';

$sth = $dbh->prepare('SELECT name, colour, calories

    FROM fruit

    WHERE calories < ?');

$sth->bindParam(1, $calories, PDO::PARAM_INT);//正确

$sth->bindValue(1, $calories, PDO::PARAM_INT);//正确

$sth->bindParam(1, 150, PDO::PARAM_INT);//错误,必须是参数

$sth->bindValue(1, 150, PDO::PARAM_INT);//正确

$sth->execute();

另外在存储过程中, bindParam 可以绑定为 input/output 变量,如下面

$sth = $pdo->prepare("call func(:param)");

$param = "test";

$sth->bindParam(":param",$param); //正确

$sth->execute();

存储过程执行过后的结果可以直接反应到变量上。对于那些内存中的大数据块参数,处于性能的考虑,应优先使用 bindParam() 。

 

拓展阅读

1、PDOStatement::execute http://www.runoob.com/php/pdostatement-execute.html 
2、php pdo中bindParam() 和 bindValue()方法的区别 https://blog.csdn.net/think2me/article/details/7258509 
3、官网介绍pdo的execute这么绑定命名参数,但是不写冒号也行 https://segmentfault.com/q/1010000007480197 
4、Yaf封装MySQL https://blog.csdn.net/doomsday0417/article/details/70810366

PDO预处理的更多相关文章

  1. MySQL pdo预处理能防止sql注入的原因

    MySQL pdo预处理能防止sql注入的原因: 1.先看预处理的语法 $pdo->prepare('select * from biao1 where id=:id'); $pdo->e ...

  2. pdo 预处理

      <?php /* * pdo 预处理sql */ $dsn = "mysql:dbname=0328;host=localhost"; $username = " ...

  3. 2017-07-25 PDO预处理以及防止sql注入

    首先来看下不做任何处理的php登录,首先是HTML页面代码 <html> <head><title>用户登录</title></head> ...

  4. 前端学PHP之PDO预处理语句

    × 目录 [1]定义 [2]准备语句 [3]绑定参数[4]执行查询[5]获取数据[6]大数据对象 前面的话 本来要把预处理语句和前面的基础操作写成一篇的.但是,由于博客园的限制,可能是因为长度超出,保 ...

  5. php pdo预处理语句与存储过程

    很多更成熟的数据库都支持预处理语句的概念.什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制.预处理语句可以带来两大好处: 1.查询仅需解析(或预处理) ...

  6. PHP基础知识之————PDO预处理语句

    转载处:http://www.cnblogs.com/xiaohuochai/p/6133353.html 定义 在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这 ...

  7. PDO预处理语句规避SQL注入攻击

    所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存 ...

  8. PDO预处理语句

    1.造PDO对象$dsn = "mysql:dbname=mydb;host=localhost";$pdo = new PDO($dsn,"root",&qu ...

  9. PHP PDO 预处理语句与存储过程

    很多更成熟的数据库都支持预处理语句的概念. 什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制.预处理语句可以带来两大好处: 查询仅需解析(或预处理)一 ...

随机推荐

  1. js中的定义

    执行环境:执行环境定义了变量或函数有权访问的其他数据,决定了他们各自的行为,每个执行环境都有一个与之关联的 变量对象:环境中定义的所有变量和函数都保存在这个对象中.(在函数中这个变量对象叫活动对象) ...

  2. 1260: [CQOI2007]涂色paint

    Description 假设你有一条长度为5的木版,初始时没有涂过任何颜色.你希望把它的5个单位长度分别涂上红.绿.蓝.绿.红色,用一个长度为5的字符串表示这个目标:RGBGR. 每次你可以把一段连续 ...

  3. ros问题总结

    1.-- package 'orocos-bfl' not found CMake Error at /usr/share/cmake-2.8/Modules/FindPkgConfig.cmake: ...

  4. 卸载AppDomain动态调用DLL异步线程执行失败

    应用场景 动态调用DLL中的类,执行类的方法实现业务插件功能 使用Assembly 来实现 但是会出现逻辑线程数异常的问题 使用AppDomain 实现动态调用,并卸载. 发现问题某个插件中开启异步线 ...

  5. 使用CTex完成北京科技大学本科生毕业设计

    var appInsights=window.appInsights||function(config){ function r(config){t[config]=function(){var i= ...

  6. 算法入门笔记------------Day2

    1.开灯问题 有n盏灯,编号为1-n,第一个人把所有灯打开,第二个按下所有编号为2的倍数的开关(这些灯都被关掉),第三个人按下所有编号为3的倍数的开关,依次类推,一共有k个人,问最后有哪些灯开着?输入 ...

  7. 了解及使用IPV6

    1. 什么是 IPv6 IPv6指互联网协议(IP)第6版.目前大家上网主要使用互联网协议第四版,即IPv4. 在全球互联网高度发展的今天,IPv4 地址资源已经枯竭,互联网正在经历从IPv4网络向I ...

  8. Python学习之路--Socket

    Socket socket通常也称作"套接字",用于描述IP地址和端口,是一个通信链的句柄,应用程序通常通过"套接字"向网络发出请求或者应答网络请求. sock ...

  9. 让IE浏览器支持CSS3圆角属性的方法

    绘出圆角: 1.下载一个压缩包,里面有一个微软的脚本文件(11KB)和一个用来测试服务器是否有正确的Content-Type的HTML文件:iecss3.rar:.htc 文件是IE内核支持Web行为 ...

  10. 无法导入以下密钥文件: xxxx.pfx,该密钥文件可能受密码保护 的解决方案

    无法导入以下密钥文件: xxxx.pfx,该密钥文件可能受密码保护.若要更正此问题,请尝试再次导入证书,或手动将证书安装到具有以下密钥容器名称的强名称 CSP: VS_KEY_A5A29909FF6D ...