Deutsch
Deutsch
In PHP bietet die MySQLI -Erweiterung eine sicherere und flexiblere Möglichkeit, mit der Datenbank zu interagieren. Die MySQLI :: STMT_INIT -Funktion ist eine sehr nützliche Funktion zur Initialisierung von Vorbereitungsanweisungen und wird normalerweise zur Durchführung von SQL -Abfragen mit Parametern verwendet. In diesem Artikel wird untersucht, wie MySQLI :: STMT_INIT verwendet wird, um dynamische Parameter zu unterstützen und Abfrageparameter flexibel zu verarbeiten.
Die Funktion MySQLI :: STMT_INIT kann verwendet werden, um ein Vorverarbeitungsanweisungsobjekt für SQL -Abfrageanweisungen zu erstellen, das mehrere Parameter sicher binden und Abfragen ausführen kann. Es verringert das Risiko einer SQL -Injektion durch Vorkompetenabfrageanweisungen und eignet sich besonders für parametrisierte Abfragen.
Stellen Sie zunächst sicher, dass Sie mit der Datenbank verbunden sind. Hier ist ein Beispiel für eine Datenbankverbindung:
<?php
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "my_database";
// Eine Verbindung erstellen
$conn = new mysqli($servername, $username, $password, $dbname);
// Überprüfen Sie die Verbindung
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
?>
In einigen Fällen können wir die Anzahl der Parameter für die Abfrageanweisung im Voraus nicht bestimmen. Sie möchten beispielsweise eine Abfrage dynamisch erstellen und bestimmen, wie viele Abfrageparameter basierend auf den eingehenden Daten benötigt werden.
Angenommen, wir haben eine Abfrage, mit der wir eine beliebige Anzahl von Parametern dynamisch übergeben können, um wie folgt zu filtern:
SELECT * FROM users WHERE name = ? AND age = ? AND city = ?
Sie können sehen , dass Name , Alter und Stadt bedingte Filterfelder sind, und wir hoffen, dass wir die Abfragebedingungen dynamisch entsprechend den tatsächlichen Bedürfnissen übergeben können.
Erstellen einer Abfrageanweisung: Wir erstellen zunächst dynamisch SQL -Anweisungen durch eine einfache Reihe von Bedingungen.
Binden Sie Parameter: Dann verwenden wir call_user_func_array , um dynamische Parameter an die Abfrage zu binden.
Hier ist ein Beispiel für eine Implementierung:
<?php
// 1. Bauen SQL Abfrageanweisung
$baseQuery = "SELECT * FROM users WHERE ";
$conditions = [];
$params = [];
$types = "";
// Dynamisches Bedingungsarray,Nehmen Sie das an POST Erhalten
$filters = [
'name' => 'John',
'age' => 25,
'city' => 'New York'
];
// 根据传入的过滤条件动态生成Abfrageanweisung
foreach ($filters as $key => $value) {
$conditions[] = "$key = ?";
$params[] = $value;
$types .= "s"; // Angenommen, alle Bedingungen sind String -Typen
}
$query = $baseQuery . implode(" AND ", $conditions);
// 2. verwenden stmt_init Abfrage initialisieren
$stmt = $conn->stmt_init();
if ($stmt->prepare($query)) {
// 3. Dynamische Bindungsparameter
$stmt->bind_param($types, ...$params);
// 4. Eine Frage ausführen
$stmt->execute();
$result = $stmt->get_result();
// 5. Erhalten结果
while ($row = $result->fetch_assoc()) {
print_r($row);
}
// 6. Aussage
$stmt->close();
} else {
echo "Error: " . $stmt->error;
}
?>
Dynamisch Erstellen von Abfragen: Wir erstellen dynamisch SQL -Abfragenanweisungen basierend auf dem $ Filter -Array und fügen Bedingungen nur bei Bedarf hinzu.
Dynamische Bindungsparameter: Verwenden Sie Bind_param (), um Abfrageparameter zu binden. Wir übergeben Parameter über call_user_func_array , mit der wir eine beliebige Anzahl von Abfrageparametern verarbeiten können.
Abfrageausführung: Führen Sie schließlich die Abfrage über execute () aus und verwenden Sie Get_Result () , um das Abfrageergebnis zu erhalten.
Durch die obige Methode können wir die Unterstützung dynamischer Parameter in der Funktion von MySQLI :: STMT_INIT implementieren und können auch Abfrageparameter flexibel verarbeiten. Dynamische parametrisierte Abfragen erhöhen nicht nur die Flexibilität der Abfrage, sondern verhindern auch die SQL -Injektion effektiv und gewährleisten die Sicherheit der Anwendung.
Bitte beachten Sie: Stellen Sie in den tatsächlichen Projekten sicher, dass alle Parameter der Benutzereingabe streng überprüft und desinfiziert werden, insbesondere bei der Behandlung von dynamischen Abfragen. Vermeiden Sie das Spleißen von SQL -Anweisungen direkt und verwenden Sie immer Vorbereitungsanweisungen und Bindungsparameter, um Abfragen auszuführen.
