很多更成熟的資料庫都支援預處理語句的概念。
什麼是預處理語句?可以把它看作是想要運行的SQL 的一種編譯過的模板,它可以使用變數參數來客製化。預處理語句可以帶來兩大好處:
查詢僅需解析(或預處理)一次,但可以用相同或不同的參數執行多次。當查詢準備好後,資料庫將分析、編譯和最佳化執行該查詢的計畫。對於複雜的查詢,此過程要花費較長的時間,如果需要以不同參數多次重複相同的查詢,那麼該過程將大大降低應用程式的速度。透過使用預處理語句,可以避免重複分析/編譯/最佳化週期。簡言之,預處理語句佔用較少的資源,因而運作得更快。
提供給預處理語句的參數不需要用引號括起來,驅動程式會自動處理。如果應用程式只使用預處理語句,可以確保不會發生SQL 注入。 (然而,如果查詢的其他部分是由未轉義的輸入來建構的,則仍有SQL 注入的風險)。
預處理語句如此有用,以至於它們唯一的特性是在驅動程式不支援的時PDO 將模擬處理。這樣可以確保不管資料庫是否具有這樣的功能,都可以確保應用程式可以用相同的資料存取模式。
下面範例透過用name 和value 取代對應的命名佔位符來執行一個插入查詢
<?php$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");$stmt->bindParam(':name', $name);$stmt- >bindParam(':value', $value);// 插入一行$name = 'one';$value = 1;$stmt->execute();// 用不同的值插入另一行$name = 'two';$value = 2;$stmt->execute();?>以下範例透過用name 和value 取代? 佔位符的位置來執行一條插入查詢。
<?php$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");$stmt->bindParam(1, $name);$stmt->bindParam(2, $value);// 插入一行$name = 'one';$value = 1;$stmt->execute();//用不同的值插入另一行$name = 'two';$value = 2;$stmt->execute();?>以下範例取得資料是基於鍵值已提供的形式。使用者的輸入會自動用引號括起來,因此不會有SQL 注入攻擊的危險。
<?php$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");if ($stmt->execute(array($_GET['name']))) { while ($row = $stmt->fetch()) { print_r($row); }}?>如果資料庫驅動支持,應用程式還可以綁定輸出和輸入參數。輸出參數通常用於從預存程序獲取值。輸出參數使用起來比輸入參數稍微複雜一些,因為當綁定一個輸出參數時,必須知道給定參數的長度。如果為參數綁定的值大於建議的長度,就會產生一個錯誤。
<?php$stmt = $dbh->prepare("CALL sp_returns_string(?)");$stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); // 呼叫預存程序$stmt->execute ();print "procedure returned $return_valuen";?>也可以指定同時具有輸入和輸出值的參數,其語法類似輸出參數。在下一個範例中,字串"hello"被傳遞給預存程序,當預存程序傳回時,hello 被替換為該預存程序傳回的值。
<?php$stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");$value = 'hello';$stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000 ); // 呼叫預存程序$stmt->execute();print "procedure returned $valuen";?><?php$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");$stmt->execute(array($_GET['name']));// 佔位符必須用在整個值的位置$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");$stmt->execute(array("%$_GET[name]%"));?>