보다 성숙한 데이터베이스 중 다수는 준비된 문의 개념을 지원합니다.
준비된 진술이란 무엇입니까? 이를 실행하려는 SQL의 컴파일된 템플릿으로 생각하세요. 이는 변수 매개변수를 사용하여 사용자 정의할 수 있습니다. 준비된 진술은 두 가지 주요 이점을 가져올 수 있습니다.
쿼리는 한 번만 구문 분석(또는 전처리)하면 되지만 동일하거나 다른 매개변수를 사용하여 여러 번 실행할 수 있습니다. 쿼리가 준비되면 데이터베이스는 쿼리 실행 계획을 분석, 컴파일 및 최적화합니다. 복잡한 쿼리의 경우 이 프로세스가 더 오래 걸리며, 동일한 쿼리를 다른 매개변수로 여러 번 반복해야 하는 경우 애플리케이션 속도가 크게 느려질 수 있습니다. 준비된 문을 사용하면 반복적인 분석/컴파일/최적화 주기를 피할 수 있습니다. 간단히 말해서, 준비된 명령문은 더 적은 리소스를 사용하므로 더 빠르게 실행됩니다.
준비된 명령문에 제공되는 매개변수는 따옴표로 묶을 필요가 없습니다. 드라이버가 이를 자동으로 처리합니다. 애플리케이션이 준비된 명령문만 사용하는 경우 SQL 주입이 발생하지 않는다고 확신할 수 있습니다. (그러나 쿼리의 다른 부분이 이스케이프되지 않은 입력으로 구성되면 여전히 SQL 주입 위험이 있습니다.)
준비된 명령문은 매우 유용하므로 드라이버가 지원하지 않을 때 PDO가 처리를 시뮬레이션한다는 것이 유일한 기능입니다. 이렇게 하면 데이터베이스에 이러한 기능이 있는지 여부에 관계없이 애플리케이션이 동일한 데이터 액세스 패턴을 사용할 수 있습니다.
다음 예에서는 해당하는 명명된 자리 표시자를 이름과 값으로 바꿔서 삽입 쿼리를 실행합니다.
<?php$stmt = $dbh->prepare("레지스트리에 삽입(이름, 값) VALUES (:name, :value)");$stmt->bindParam(':name', $name);$stmt- >bindParam(':value', $value);// 행 삽입 $name = 'one' $value = 1;// 다른 값을 가진 다른 행 삽입 $name = 'two';$value = 2;$stmt->execute();?>다음 예에서는 ? 자리 표시자를 이름과 값으로 바꿔서 삽입 쿼리를 실행합니다.
<?php$stmt = $dbh->prepare("레지스트리에 삽입(이름, 값) 값(?, ?)");$stmt->bindParam(1, $name);$stmt->bindParam(2, $value);//행 삽입 $name = 'one';$value = 1;$stmt->execute();// 다른 값을 가진 다른 행 삽입 $name = 'two';$value = 2;$stmt->execute();?>다음 예에서는 제공된 형식의 키 값을 기반으로 데이터를 가져옵니다. 사용자 입력이 자동으로 인용되므로 SQL 주입 공격의 위험이 없습니다.
<?php$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");if ($stmt->execute(array($_GET['name']))) { while ($row = $stmt->fetch()) { print_r($row) }}?>데이터베이스 드라이버가 이를 지원하는 경우 애플리케이션은 출력 및 입력 매개변수를 바인딩할 수도 있습니다. 출력 매개변수는 저장 프로시저에서 값을 가져오는 데 자주 사용됩니다. 출력 매개변수를 바인딩할 때 지정된 매개변수의 길이를 알아야 하기 때문에 출력 매개변수는 입력 매개변수보다 사용하기가 약간 더 복잡합니다. 매개변수에 바인딩된 값이 권장 길이보다 크면 오류가 생성됩니다.
<?php$stmt = $dbh->prepare("CALL sp_returns_string(?)");$stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000) // 저장 프로시저 호출 $stmt-> 실행();print "프로시저가 $return_valuen을 반환했습니다.";?>출력 매개변수와 유사한 구문을 사용하여 입력 값과 출력 값이 모두 있는 매개변수를 지정할 수도 있습니다. 다음 예제에서는 문자열 "hello"가 저장 프로시저에 전달되고, 저장 프로시저가 반환되면 hello가 저장 프로시저에서 반환된 값으로 대체됩니다.
<?php$stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");$value = 'hello';$stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000 ); // 저장 프로시저 호출 $stmt->execute();print "프로시저가 반환됨 $값n";?> <?php$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");$stmt->execute(array($_GET['name']));// 자리 표시자 기호 $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE 값 전체에서 사용해야 합니다. ?");$stmt->execute(array("%$_GET[이름]%"));?>