mysqli扩展库---------预处理技术

1， PHP程序与mysql之间处理sql语句流程如下，减少执行时间方式有三种：

① 减少php发送sql次数；

② 减少php与mysql之间网络传输时间；

③ 减少mysql的编译时间；

2， 预编译可以减少数据库执行时间，同时可以防止sql注入攻击。预编译示例如下：

① 向user1中插入3条记录。

<?php
//预编译演示
//需求：请使用预处理的方式，向数据库添加三个用户

//1，创建mysqli对象
$mysqli = new MySQLi("10.252.158.217","root","521lhy","test");
if($mysqli->connect_error){
    die("连接错误".$mysqli->connect_error);
}
//2，创建预编译对象
$sql = "insert into user1 (name,password,email,age) VALUES (?,?,?,?)";
$mysqli_stmt = $mysqli->prepare($sql);

//绑定参数
$name ="小倩";
$password = "xiaoqian";
$email = "xiaoqian@126.com";
$age = 20;
//参数绑定->给》赋值，这里类型和顺序都要对应
$mysqli_stmt->bind_param("sssi",$name,$password,$email,$age);
//int对应i，double对应d，string对应s，boolean对应b
//执行
$b = $mysqli_stmt->execute();
if(!$b){
    echo $name."添加出错";
}

//继续添加
$name = "老妖";
$password = "laoyao";
$email = "laoyao@126.com";
$age = 120;
$mysqli_stmt->bind_param("sssi",$name,$password,$email,$age);
//执行
$b = $mysqli_stmt->execute();
if(!$b){
    echo $name."添加出错";
}

//继续添加
$name = "宁采臣";
$password = "ningcaichen";
$email = "ningcaichen@126.com";
$age = 24;
$mysqli_stmt->bind_param("sssi",$name,$password,$email,$age);
//执行
$b = $mysqli_stmt->execute();
if(!$b){
    echo $name."添加出错";
}

//释放
$mysqli->close();

② 查询所有id大于5的用户信息以及id大于10的用户信息。

<?php
//预编译演示
//需求：请使用预处理的方式，从数据库查询
//使用预处理的方法，查询所有id>5的用户的id，name，email
$mysqli = new MySQLi("10.252.158.217","root","521lhy","test");
if($mysqli->connect_error){
    die("连接错误".$mysqli->connect_error);
}

//创建一个预定义的对象？占位
$sql = "select id,name,email from user1 where id > ?";
$mysqli_stmt = $mysqli->prepare($sql);



$id = 5;

//绑定参数
$mysqli_stmt->bind_param("i",$id);

//执行
$mysqli_stmt->execute();

//绑定结果集
$mysqli_stmt->bind_result($id,$name,$email);

//取出绑定的值
while($mysqli_stmt->fetch()){
    echo "<br/>--$id--$name--$email";
}


echo "<br/>**********************************";
$id = 14;

//绑定参数
$mysqli_stmt->bind_param("i",$id);

//执行
$mysqli_stmt->execute();

//取出绑定的值
while($mysqli_stmt->fetch()){
    echo "<br/>--$id--$name--$email";
}

//关闭资源
//释放结果
$mysqli_stmt->free_result();
//关闭预编译
$mysqli_stmt->close();

//关闭连接
$mysqli->close();

3， 防止sql注入攻击方式，$sql = “select * from user where username = ‘aaa’ and password =’bbb’”;用此种方式查询时候，如果输入密码是xx’ or 1=’1，即$sql = “select * from user where username = ‘aaa’ and password =’ xx’ or 1=’1’”;这个也会成功的，这就是sql注入。

① 使用预编译。

② 改变验证数据库用户逻辑

$sql = “select password from user where username = ‘aaa’”;

//看看有没有查询到记录，如果有说明用户存在

If(从数据库查询的密码==用户输入的密码){

       //合法，用户合法

       header(“admin.php”);

}else{

       header(“err.php”);

}