编辑“︁PHP预处理语句”︁

= PHP预处理语句 =

'''PHP预处理语句'''（Prepared Statements）是PHP中用于安全高效地执行数据库查询的一种技术。它通过将SQL语句与参数分离，避免了SQL注入攻击，并提高了重复查询的性能。预处理语句在PHP中主要通过'''PDO'''（PHP Data Objects）和'''MySQLi'''（MySQL Improved）扩展实现。

== 概述 ==

预处理语句的工作原理分为两个阶段：
# '''准备阶段'''：SQL语句被发送到数据库服务器进行解析和编译。
# '''执行阶段'''：参数被绑定到预处理语句并执行。

这种方法的主要优势包括：
* '''安全性'''：自动处理参数转义，防止SQL注入
* '''性能'''：对于重复查询只需编译一次
* '''可读性'''：SQL代码与数据分离，更易于维护

== 实现方式 ==

PHP提供两种主要方式实现预处理语句：

=== 使用PDO ===

PDO是PHP提供的数据库抽象层，支持多种数据库系统。

<syntaxhighlight lang="php">
// 连接数据库
$pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');

// 准备语句
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");

// 绑定参数并执行
$stmt->execute([
    ':name' => 'John Doe',
    ':email' => 'john@example.com'
]);

echo "插入成功，ID为: " . $pdo->lastInsertId();
</syntaxhighlight>

=== 使用MySQLi ===

MySQLi是专门为MySQL设计的扩展，提供面向对象和过程式两种接口。

<syntaxhighlight lang="php">
// 连接数据库
$mysqli = new mysqli('localhost', 'username', 'password', 'test');

// 准备语句
$stmt = $mysqli->prepare("INSERT INTO users (name, email) VALUES (?, ?)");

// 绑定参数
$name = 'John Doe';
$email = 'john@example.com';
$stmt->bind_param("ss", $name, $email); // "ss"表示两个字符串参数

// 执行
$stmt->execute();

echo "插入成功，ID为: " . $stmt->insert_id;

// 关闭
$stmt->close();
$mysqli->close();
</syntaxhighlight>

== 参数绑定类型 ==

参数绑定时需指定数据类型：

{| class="wikitable"
|+ MySQLi绑定参数类型
! 字符 !! 类型
|-
| i || 整数
|-
| d || 双精度浮点数
|-
| s || 字符串
|-
| b || 二进制数据
|}

PDO使用命名参数或问号占位符，自动检测数据类型。

== 预处理语句执行流程 ==

<mermaid>
sequenceDiagram
    participant Client as PHP客户端
    participant Server as 数据库服务器
    
    Client->>Server: PREPARE语句(SQL模板)
    Server->>Client: 返回语句句柄
    Client->>Server: EXECUTE语句(绑定参数)
    Server->>Client: 返回结果集
    Note right of Server: 可重复执行<br>不同参数
</mermaid>

== 实际应用案例 ==

=== 用户登录系统 ===

使用预处理语句安全验证用户登录：

<syntaxhighlight lang="php">
// 使用PDO验证用户
function verifyUser($pdo, $username, $password) {
    $stmt = $pdo->prepare("SELECT id, password FROM users WHERE username = ?");
    $stmt->execute([$username]);
    
    if ($user = $stmt->fetch()) {
        if (password_verify($password, $user['password'])) {
            return $user['id'];
        }
    }
    return false;
}

// 使用示例
$userId = verifyUser($pdo, $_POST['username'], $_POST['password']);
if ($userId) {
    echo "登录成功，用户ID: $userId";
} else {
    echo "用户名或密码错误";
}
</syntaxhighlight>

=== 批量插入数据 ===

高效插入多条记录：

<syntaxhighlight lang="php">
// 使用MySQLi批量插入
$mysqli = new mysqli('localhost', 'username', 'password', 'test');
$stmt = $mysqli->prepare("INSERT INTO products (name, price) VALUES (?, ?)");

$products = [
    ['Laptop', 999.99],
    ['Phone', 599.99],
    ['Tablet', 399.99]
];

foreach ($products as $product) {
    $stmt->bind_param("sd", $product[0], $product[1]);
    $stmt->execute();
}

echo "插入了 " . count($products) . " 条记录";
$stmt->close();
$mysqli->close();
</syntaxhighlight>

== 性能考虑 ==

预处理语句在以下场景性能优势明显：
* 相同查询多次执行（可重用编译后的语句）
* 大批量数据操作
* 高并发环境

数学上，预处理语句减少了查询编译时间。设：
* <math>C</math> = 编译时间
* <math>E</math> = 执行时间
* <math>n</math> = 执行次数

传统查询总时间：<math>T_{traditional} = n \times (C + E)</math>
预处理查询总时间：<math>T_{prepared} = C + n \times E</math>

当<math>n > 1</math>时，预处理语句更高效。

== 常见问题 ==

=== 错误处理 ===

应始终检查预处理语句是否准备成功：

<syntaxhighlight lang="php">
$stmt = $pdo->prepare("SELECT * FROM non_existent_table");
if ($stmt === false) {
    $error = $pdo->errorInfo();
    echo "准备语句失败: " . $error[2];
    exit;
}
</syntaxhighlight>

=== 动态表名或列名 ===

预处理语句不能用于表名或列名参数化，只能用于值。动态表名/列名需要其他验证方式：

<syntaxhighlight lang="php">
// 不安全的方式（不要这样做）
$stmt = $pdo->prepare("SELECT * FROM ? WHERE id = ?");

// 正确的方式
function safeQuery($pdo, $table, $id) {
    // 验证表名是否有效
    $allowedTables = ['users', 'products', 'orders'];
    if (!in_array($table, $allowedTables)) {
        throw new Exception("无效的表名");
    }
    
    $stmt = $pdo->prepare("SELECT * FROM $table WHERE id = ?");
    $stmt->execute([$id]);
    return $stmt->fetchAll();
}
</syntaxhighlight>

== 最佳实践 ==

1. '''始终使用预处理语句'''处理用户输入
2. '''重用预处理语句'''提高性能
3. '''适当关闭'''语句和连接
4. '''统一错误处理'''（设置PDO::ERRMODE_EXCEPTION）
5. '''限制结果集'''（结合LIMIT子句）

== 总结 ==

PHP预处理语句是数据库操作的核心安全特性，通过分离代码和数据：
* 消除SQL注入风险
* 提高重复查询性能
* 增强代码可读性和可维护性

无论是使用PDO还是MySQLi，预处理语句都应是数据库交互的首选方式。

[[Category:编程语言]]
[[Category:PHP]]
[[Category:PHP数据库操作]]