爱周末 » 参数化SQL查询 http://zhoumo123.cn 知识分享,共同进步。zhoumo123.cn Thu, 07 Nov 2019 05:53:49 +0000 zh-CN hourly 1 http://wordpress.org/?v=4.0.1 PDO参数化查询prepare() php防SQL注入 http://zhoumo123.cn/pdo/3535.html http://zhoumo123.cn/pdo/3535.html#comments Thu, 28 Jan 2016 07:28:52 +0000 http://zhoumo123.cn/?p=3535 阅读全文 ]]> PDO中参数化查询主要用到prepare()方法,然后这个方法会返回一个PDOStatement对象,也就SQL声明(不知道怎么翻译),此时SQL语句只是被编译,但并未执行,调用PDOStatement中方法后会执行SQL语句,如下示例:

$sm = $db->prepare('SELECT login_oid FROM logined WHERE user_id=:user_id;');
$sm->bindValue(':user_id', $user_id, PDO::PARAM_INT);
$sm -> execute();

在execute()执行前,就可以调用bindValue()或者bindParam()方法替换之前准备的SQL语句中的你指定参数了,在SQL语句中指定参数有两种方式:':name’和’?’,上面代码中的用的是前一种,后一种的方式是:

$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?;');
$sm->bindValue(1, $calories, PDO::PARAM_INT);
$sm->execute();

bindValue()有三个参数,第一个指定要替换掉SQL语句中哪一个参数,第二个指定替换后的值,第三个指定值的类型,类型对应如下:
PDO::PARAM_BOOL
布尔类型

PDO::PARAM_NULL
NULL类型

PDO::PARAM_INT
整数类型

PDO::PARAM_STR
字符串类型如 CHAR, VARCHAR, string

PDO::PARAM_LOB
资源类大对象,如文件等

PDO::PARAM_STMT
不知道

PDO::PARAM_INPUT_OUTPUT
这个好像是扩展类型

里面没有提供实数类型,这个很诧异.

再说说execute()这个方法,它本身也可以做参数替换,但是它会把所有值的类型都变成字符串类型,如下

$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?;');
$sm->execute(array($calories));

多参数替换如下

$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?, id < ?;');
$sm->execute(array($calories, $user_id));

http://my.oschina.net/cers/blog/41739?fromerr=ezofpZnY

]]> http://zhoumo123.cn/pdo/3535.html/feed 0 采用参数化查询SQL语句避免SQL注入 http://zhoumo123.cn/wangluoanquan/3532.html http://zhoumo123.cn/wangluoanquan/3532.html#comments Thu, 28 Jan 2016 06:44:37 +0000 http://zhoumo123.cn/?p=3532 阅读全文 ]]> SQL参数化查询可以防止SQL注入,避免SQL注入的方法有两种:

第一种方案:

所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,

第二种方案:

参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样:

select * from UserInfo where sex=0

在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我们用参数化SQL语句表示为:

select * from UserInfo where sex=@sex

再对代码中对这个SQL语句中的参数进行赋值,假如我们要查找UserInfo表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:

select * from UserInfo where sex=@sex and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码:

//实例化Connection对象
SqlConnection connection = new SqlConnection("server=localhost;database=pubs;uid=sa;pwd=''");
//实例化Command对象
SqlCommand command = new SqlCommand("select * from UserInfo where sex=@sex and age&gt;@age", connection);
//第一种添加查询参数的例子
command.Parameters.AddWithValue("@sex", true);
//第二种添加查询参数的例子
SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的
parameter.Value = 30;
command.Parameters.Add(parameter);//添加参数
//实例化DataAdapter
SqlDataAdapter adapter = new SqlDataAdapter(command);
DataTable data = new DataTable();

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库,那么对应的参数化SQL语句及参数分别如下:

数据库 Access MySQL Oracle
 SQL语句 select * from UserInfo 
where sex=? and age>?		 select * from UserInfo 
where sex=?sex and age>?age		 select * from UserInfo 
where sex=:sex and age>:age
参数 OleDbParameter MySqlParameter OracleParameter
实例化参数 OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean); MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit); OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值 p.Value=true; p.Value=1; p.Value=1;

http://www.cnblogs.com/aito/archive/2010/08/25/1808569.html

]]> http://zhoumo123.cn/wangluoanquan/3532.html/feed 0