pdo预编译防止字符串拼接

1. php中用参数传递的pdo查询语句怎么写

方法 bindParam() 和 bindValue() 非常相似。
唯一的区别就是前者使用一个PHP变量绑定参数，而后者使用一个值。
所以使用bindParam是第二个参数只能用变量名，而不能用变量值，而bindValue至可以使用具体值。
复制代码 代码如下:

$stm = $pdo->prepare("select * from users where user = :user");
$user = "jack";
//正确
$stm->bindParam(":user",$user);
//错误
//$stm->bindParam(":user","jack");
//正确
$stm->bindValue(":user",$user);
//正确
$stm->bindValue(":user","jack");

另外在存储过程中，bindParam可以绑定为input/output变量，如下面：
复制代码 代码如下:

$stm = $pdo->prepare("call func(:param1)");
$param1 = "abcd";
$stm->bindParam(":param1",$param1); //正确
$stm->execute();

存储过程执行过后的结果可以直接反应到变量上。
对于那些内存中的大数据块参数，处于性能的考虑，应优先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
参数化查询
参数化查询（Parameterized Query 或 Parameterized Statement）是指在设计与数据库连结并访问数据时，在需要填入数值或数据的地方，使用参数 (Parameter) 来给值，这个方法目前已被视为最有效可预防sql注入攻击 (SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询，会让程序更不好维护，或者在实现部份功能上会非常不便[来源请求]，然而，使用参数化查询造成的额外开发成本，通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击，所造成的重大损失。
除了安全因素，相比起拼接字符串的 SQL 语句，参数化的查询往往有性能优势。因为参数化的查询能让不同的数据通过参数到达数据库，从而公用同一条 SQL 语句。大多数数据库会缓存解释 SQL 语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的 SQL 语句，则会由于操作数据是 SQL 语句的一部分而非参数的一部分，而反复大量解释 SQL 语句产生不必要的开销。
目录
* 1 原理
* 2 SQL 指令撰写方法
o 2.1 Microsoft SQL Server
o 2.2 Microsoft Access
o 2.3 MySQL
o 2.4 PostgreSQL/SQLite
* 3 客户端程序撰写方法
o 3.1 ADO.NET
o 3.2 PDO
o 3.3 JDBC
o 3.4 Cold Fusion
[编辑] 原理
在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数运行，因此就算参数中含有具破坏性的指令，也不会被数据库所运行。
[编辑] SQL 指令撰写方法
在撰写 SQL 指令时，利用参数来代表需要填入的数值，例如：
[编辑] Microsoft SQL Server
Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成，SQL Server 亦支持匿名参数 "?"。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)
[编辑] Microsoft Access
Microsoft Access 不支持具名参数，只支持匿名参数 "?"。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[编辑] MySQL
MySQL 的参数格式是以 "?" 字符加上参数名称而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[编辑] PostgreSQL/SQLite
PostgreSQL 和 SQLite 的参数格式是以 “:” 加上参数名而成。当然，也支持类似 Access 的匿名参数。
UPDATE "myTable" SET "c1" = :c1, "c2" = :c2, "c3" = :c3 WHERE "c4" = :c4
[编辑] 客户端程序撰写方法
在客户端代码中撰写使用参数的代码，例如：
[编辑] ADO.NET
ADO.NET用于ASP.NET之内。
SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); // 设定参数 @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); // 设定参数 @c2 的值。
sqlcmd.Parameters.AddWithValue("@c3", 3); // 设定参数 @c3 的值。
sqlcmd.Parameters.AddWithValue("@c4", 4); // 设定参数 @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[编辑] PDO
PDO用于PHP之内。 在使用 PDO 驱动时，参数查询的使用方法一般为：
复制代码 代码如下:

// 实例化数据抽象层对象
$db = new PDO('pgsql:host=127.0.0.1;port=5432;dbname=testdb');
// 对 SQL 语句执行 prepare，得到 PDOStatement 对象
$stmt = $db->prepare('SELECT * FROM "myTable" WHERE "id" = :id AND "is_valid" = :is_valid');
// 绑定参数
$stmt->bindValue(':id', $id);
$stmt->bindValue(':is_valid', true);
// 查询
$stmt->execute();
// 获取数据
foreach($stmt as $row) {
var_mp($row);
}
[code]
对于 MySQL 的特定驱动，也可以这样使用：
$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();
值得注意的是，以下方式虽然能有效防止 SQL注入 （归功于 mysql_real_escape_string 函数的转义），但并不是真正的参数化查询。其本质仍然是拼接字符串的 SQL 语句。
[code]
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);

[编辑] JDBC
JDBC用于java之内。
java.sql.PreparedStatement prep = connection.prepareStatement(
"SELECT * FROM `users` WHERE USERNAME = ? AND PASSWORD = ?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
[编辑] Cold Fusion
<cfquery name="Recordset1" datasource="cafetownsend">
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">
</cfquery>

2. 请教关于php中使用pdo进行mysql语句的预处理来防止注入的问题

$pdo=newPDO(//配置);
$sql='=:condition';
$r=$pdo->prepare($sql);
$r->execute(array(':condition'=>$param));

//这里把参数直接以数组的形式传进去，其余工作prepare会自动帮你完成
//prepare的工作就是预先处理sql语句预防可能出现的注入，不然怎么会叫预处理呢

3. 请教php中关于使用pdo进行SQL语句的预处理防止注入的问题

$pdo = new PDO("mysql:host=192.168.0.1;dbname=test;charset=utf8","root");
$st = $pdo->prepare("select * from info where id =? and name = ?");

$id = 21;
$name = 'zhangsan';
$st->bindParam(1,$id);
$st->bindParam(2,$name);

$st->execute();
$st->fetchAll();
基本示例，我想你一看就明白了，望采纳。

4. PHP PDO驱动问题，怎么解决

最简单的方法把这个预编译写法是把SQL指令预先放到SQL服务器，命令执行的时候在动态的传递数据

这个写法的一个好处是安全，防止SQL注入，因为放了一个问号，就已经表示那是数据而不是一个SQL可执行的语句

第二个好处是可以一次编译多次执行，在执行多个相似操作的时候，会加快SQL的速度，降低SQL服务器的负担就这样试试吧，如果你对php有兴趣的话，可以向我一样在后盾人平台多看看自己学习学习，时间长了自己就慢慢明白了，希望能帮到你，给个采纳吧谢谢o(〒㉨〒)o

5. php thinkphp pdo 连接方式，获取的数据都默认为字符串类型了，怎么办

什么怎么办，你需要完全可以转换成你需要的格式，而且这个跟你数据库是的字段类型有关吧。

6. PDO中的预处理对象有什么意义与作用

程序设计领域中，预处理一般是指在程序源代码被翻译为目标代码的过程中，生成二进制代码之前的过程。典型地，由预处理器(preprocessor) 对程序源代码文本进行处理，得到的结果再由编译器核心进一步编译。这个过程并不对程序的源代码进行解析，但它把源代码分割或处理成为特定的单位——（用C/C++的术语来说是）预处理记号(preprocessing token)用来支持语言特性（如C/C++的宏调用）。

7. pdo query方法有没有防止sql注入的功能

pdo query方法有没有防止sql注入的功能
传统的mysql_connect 、mysql_query方法存在很多注入风险,而使用PDO预处理机制可以有效的防止SQL注入风险。

8. 有关php,pdo中的问题：setAttribute(PDO:ATTR_ERRMODE,PDO:ERRMODE_EXCEPTION)含义解释

绑定变量，防SQL注入
‘:country’ 对应字段
$country 对变量
PDO::PARAM_STR 对类型字符串

9. Warning: PDO::__construct() expects parameter 4 to be array, string given in 报错 请教下是什么问题

string必需。规定要检查的字符串。提示：该函数可用于为存储在数据库中的字符串以及数据库查询语句准备合适的字符串。注释：默认情况下，PHP指令magic_quotes_gpc为on，对所有的GET、POST和COOKIE数据自动运行addslashes()。不要对

10. 为什么 PHP 应该使用 PDO 方式访问数据库

很多程序员都学习过如何使用 MySQL 或 MySQLi 扩展访问数据库。在 PHP 5.1 中，有一个更好的方法。PHP Data Objects(PDO) 提供了很多预处理语句的方法，且使用对象将使你的工作更有成效！

PDO 介绍

“PDO – PHP Data Objects – 是一个对多种数据库提供统一操作方法的数据库访问层。”

它并不具备数据库特有的语法，但它将使切换数据库和平台更加容易，多数情况下，只需要简单修改链接字符串。

这并非一篇完整教导如何使用SQL的教程。它重要为那些现今仍在使用 mysql 或 mysqli 扩展的人，帮助他们跃至更具可移植性和强力的 PDO。

数据库支持

此扩展可以使用 PDO 驱动编写过的所有数据库。在本文书写时，下面的数据库支持已经实现：

PDO_DBLIB ( FreeTDS / Microsoft SQL Server / Sybase )

PDO_FIREBIRD ( Firebird/Interbase 6 )

PDO_IBM ( IBM DB2 )

PDO_INFORMIX ( IBM Informix Dynamic Server )

PDO_MYSQL ( MySQL 3.x/4.x/5.x )

PDO_OCI ( Oracle Call Interface )

PDO_ODBC ( ODBC v3 (IBM DB2, unixODBC and win32 ODBC) )

PDO_PGSQL ( PostgreSQL )

PDO_SQLITE ( SQLite 3 and SQLite 2 )

PDO_4D ( 4D )

你的系统不会也不必支持所有上面的驱动；下面是一个快速检查所支持数据库的方法：

1 print_r(PDO::getAvailableDrivers());

连接

不同数据库的连接方法可能稍有不同，下面是一些较为流行的数据库连接方法。你将注意到，虽然数据库类型不同，前三种数据库的连接方式是相同的——而 SQLite 使用自己的语法。

Connection String

01 try {

02 # MS SQL Server andSybase with PDO_DBLIB

03 $DBH = newPDO("mssql:host=$host;dbname=$dbname, $user, $pass");

04 $DBH = newPDO("sybase:host=$host;dbname=$dbname, $user, $pass");

05

06 # MySQL with PDO_MYSQL

07 $DBH = newPDO("mysql:host=$host;dbname=$dbname", $user, $pass);

08

09 # SQLite Database

10 $DBH = newPDO("sqlite:my/database/path/database.db");

11 }

12 catch(PDOException $e) {

13 echo$e->getMessage();

14 }

注意 try/catch 块——你应该总是使用 try/catch 包装你的 PDO 操作，并使用异常机制——这里只是简单的示例。通常，你只需要一个连接——有很多可以教你语法的列表。 $DBH 代表“数据库句柄”，这将贯穿全文。

通过将句柄设置为 NULL，你可以关闭任一连接。

1 # close the connection

2 $DBH = null;

你可以在PHP.net找到更多数据库特定选项和/或其它数据库连接字符串的信息。

异常与 PDO

PDO 可以使用异常处理错误，这意味着你的所有 PDO 操作都应当包装在一个 try/catch 块中。你可以通过设定错误模式属性强制 PDO 在新建的句柄中使用三种错误模式中的某一个。下面是语法：

1 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_SILENT );

2 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING );

3 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

无论你设定哪个错误模式，一个错误的连接总会产生一个异常，因此创建连接应该总是包装在 try/catch 块中。

PDO::ERRMODE_SILENT

这是默认的错误模式。如果你使用这个模式，你将得使用同 mysql 或 mysqli 扩展一样的方法差错。其它两种模式更适合 DRY 编程。

PDO::ERRMODE_WARNING

此方法将会发出一个标准PHP警告，并允许程序继续运行。这对调试很有帮助。

PDO::ERRMODE_EXCEPTION

这是多数情况下你所希望的方式。它生成异常，允许你更容易的处理错误，隐藏可能导致它人了解你系统的信息。下面是一个充分利用异常的示例：

01 # connect to the database

02 try {

03 $DBH = newPDO("mysql:host=$host;dbname=$dbname", $user, $pass);

04 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

05

06 # UH-OH! Typed DELECT instead of SELECT!

07 $DBH->prepare('DELECT name FROM people');

08 }

09 catch(PDOException $e) {

10 echo"I'm sorry, Dave. I'm afraid I can't do that.";

11 file_put_contents('PDOErrors.txt', $e->getMessage(), FILE_APPEND);

12 }

在 select 语句中有一个故意留下的错误；这将导致一个异常。异常错误细节保存至一个 log 文件，并生成一段友好的（或不怎么友好的）信息于用户。

插入和更新

插入新数据，更新已存数据是一种非常常见的数据库操作。使用 PDO，这通常需要两个步骤。本节中所述的所有内容对更新和插入都有效。

这里有一个最基本的插入示例：

1 # STH means "Statement Handle"

2 $STH = $DBH->prepare("INSERT INTO folks ( first_name ) values ( 'Cathy' )");

3 $STH->execute();

你也可以使用 exec() 完成相同的操作，这将减少调用。多数情况下，你会使用调用多的方法，以充分利用语句预处理的优势。即使你只用它一次，使用语句预处理，帮助你保护你的 SQL 免于注入攻击。

预处理语句

使用语句预处理将帮助你免于SQL注入攻击。

一条预处理语句是一条预编译的 SQL 语句，它可以使用多次，每次只需将数据传至服务器。其额外优势在于可以对使用占位符的数据进行安全处理，防止SQL注入攻击。

你通过在 SQL 语句中使用占位符的方法使用预处理语句。下面是三个例子：一个没有占位符，一个使用无名占位符，一个使用命名占位符。

1 # no placeholders - ripe for SQL Injection!

2 $STH = $DBH->("INSERT INTO folks (name, addr, city) values ($name, $addr, $city)");

3

4 # unnamed placeholders

5 $STH = $DBH->("INSERT INTO folks (name, addr, city) values (?, ?, ?);

6

7 # named placeholders

8 $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");

你希望避免第一种方法。选择命名我无名占位符将会对你对语句中数据的设置产生影响。

无名占位符

01 # assign variables to each place holder, indexed 1-3

02 $STH->bindParam(1, $name);

03 $STH->bindParam(2, $addr);

04 $STH->bindParam(3, $city);

05

06 # insert one row

07 $name = "Daniel"

08 $addr = "1 Wicked Way";

09 $city = "Arlington Heights";

10 $STH->execute();

11

12 # insert another row with different values

13 $name = "Steve"

14 $addr = "5 Circle Drive";

15 $city = "Schaumburg";

16 $STH->execute();

这里有两步。首先，我们对各个占位符指定变量（2-4行）。然后，我们对各个占位符指定数据，并执行语句。要发送另一组数据，只需改变这些变量的值并再次执行语句。

这种方法看上去对拥有很多参数的语句很笨拙吧？的确。然而，当数据保存于数组中时，这非常容易简略：

1 # the data we want to insert

2 $data = array('Cathy', '9 Dark and Twisty Road', 'Cardiff');

3

4 $STH = $DBH->("INSERT INTO folks (name, addr, city) values (?, ?, ?);

5 $STH->execute($data);

容易吧！

数组中的数据按顺序填入占位符中。 $data[0]是第一个，$data[1]是第二个，依次。不过，要是数组中数据的次序不正确，这将不能正常运行，你需要先对数组排序。

命名占位符

你可能已经开始猜测语法了，不过下面就是示例：

1 # the first argument is the named placeholder name - notice named

2 # placeholders always start with a colon.

3 $STH->bindParam(':name', $name);

你可以看使用快捷方式，但它需使用关联数组。下面是示例：

1 # the data we want to insert

2 $data = array( 'name' => 'Cathy', 'addr' => '9 Dark and Twisty', 'city' => 'Cardiff' );

3

4 # the shortcut!

5 $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");

6 $STH->execute($data);

数组中的键不需要以冒号开头，但其它部分需要同占位符匹配。如果你有一个二维数组，你只需遍历它，并对遍历的每个数组执行语句。

命名占位符的另一个好的功能是直接将对象插入到你的数据库中，只要属性同命名字段匹配。下面是一个示例对象，以及如何将它插入到数据库中的示例：

01 # a simple object

02 class person {

03 public $name;

04 public $addr;

05 public $city;

06

07 function __construct($n,$a,$c) {

08 $this->name = $n;

09 $this->addr = $a;

10 $this->city = $c;

11 }

12 # etc ...

13 }

14

15 $cathy = new person('Cathy','9 Dark and Twisty','Cardiff');

16

17 # here's the fun part:

18 $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");

19 $STH->execute((array)$cathy);

通过在执行时将对象转换为数组，输将将会同数组的键一样对待。