mysqli预处理

MySQLi预处理是一种在PHP中使用MySQL数据库的方法，它允许你在执行SQL语句之前创建一个“预处理”语句，预处理语句可以提高性能，因为它只需要解析和编译一次，然后可以多次执行，预处理还可以防止SQL注入攻击。

准备工作

1、安装MySQL数据库并创建数据库和数据表

2、安装PHP环境

3、创建一个PHP文件，如mysqli_prepared_statements.php

使用MySQLi预处理的基本步骤

1、连接到MySQL服务器

2、准备SQL语句

3、绑定参数到预处理语句

4、执行预处理语句

5、获取结果

6、关闭连接

示例代码

<?php
// 1. 连接到MySQL服务器
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn>connect_error) {
    die("连接失败： " . $conn>connect_error);
}
// 2. 准备SQL语句（使用占位符）
$stmt = $conn>prepare("INSERT INTO users (firstname, lastname, email) VALUES (?, ?, ?)");
// 3. 绑定参数到预处理语句
$stmt>bind_param("sss", $firstname, $lastname, $email);
// 设置参数并执行预处理语句
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt>execute();
echo "新记录插入成功";
$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt>execute();
echo "新记录插入成功";
// 4. 关闭连接
$stmt>close();
$conn>close();
?>

注意事项

1、使用prepare()方法准备SQL语句，该方法返回一个预处理标识符。

2、使用bind_param()方法将参数绑定到预处理语句，第一个参数是字符串，表示参数类型，后面跟着要绑定的变量。"sss"表示三个字符串参数。

3、使用execute()方法执行预处理语句，你可以多次调用这个方法来执行相同的SQL语句，每次传递不同的参数。