Français
Français
Dans PHP, l'extension MySQLI fournit un moyen plus sécurisé et flexible d'interagir avec la base de données. La fonction MySQLI :: STMT_INIT est une fonction très utile pour initialiser les instructions de préparation et est généralement utilisée pour effectuer des requêtes SQL avec des paramètres. Cet article explorera comment utiliser MySQLI :: STMT_INIT pour prendre en charge les paramètres dynamiques et traiter de manière flexible les paramètres de requête.
La fonction MySQLI :: STMT_INIT peut être utilisée pour créer un objet d'instruction de prétraitement pour les instructions de requête SQL, qui peuvent lier en toute sécurité plusieurs paramètres et exécuter des requêtes. Il réduit le risque d'injection SQL en précompilant les instructions de requête et convient particulièrement aux requêtes paramétrées.
Tout d'abord, assurez-vous que vous êtes connecté à la base de données. Voici un exemple de connexion de base de données:
<?php
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "my_database";
// Créer une connexion
$conn = new mysqli($servername, $username, $password, $dbname);
// Vérifiez la connexion
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
?>
Dans certains cas, nous ne pouvons pas déterminer le nombre de paramètres pour l'instruction de requête à l'avance. Par exemple, vous souhaiterez peut-être construire une requête dynamiquement et déterminer le nombre de paramètres de requête nécessaires en fonction des données entrantes.
Supposons que nous ayons une requête qui nous permet de passer dynamiquement dans n'importe quel nombre de paramètres pour filtrer, comme ceci:
SELECT * FROM users WHERE name = ? AND age = ? AND city = ?
Vous pouvez voir que le nom , l'âge et la ville sont des champs de filtrage conditionnel, et nous espérons être en mesure d'y transmettre dynamiquement les conditions de requête en fonction des besoins réels.
Construire une déclaration de requête: nous construisons d'abord dynamiquement des instructions SQL via un simple éventail de conditions.
Bind Paramètres: Ensuite, nous utilisons Call_user_Func_Array pour lier les paramètres dynamiques à la requête.
Voici un exemple de mise en œuvre:
<?php
// 1. Construire SQL Déclaration de requête
$baseQuery = "SELECT * FROM users WHERE ";
$conditions = [];
$params = [];
$types = "";
// Tableau de condition dynamique,Supposer que POST Obtenir
$filters = [
'name' => 'John',
'age' => 25,
'city' => 'New York'
];
// 根据传入的过滤条件动态生成Déclaration de requête
foreach ($filters as $key => $value) {
$conditions[] = "$key = ?";
$params[] = $value;
$types .= "s"; // Supposons que toutes les conditions sont des types de chaînes
}
$query = $baseQuery . implode(" AND ", $conditions);
// 2. utiliser stmt_init Initialiser la requête
$stmt = $conn->stmt_init();
if ($stmt->prepare($query)) {
// 3. Paramètres de liaison dynamique
$stmt->bind_param($types, ...$params);
// 4. Exécuter une requête
$stmt->execute();
$result = $stmt->get_result();
// 5. Obtenir结果
while ($row = $result->fetch_assoc()) {
print_r($row);
}
// 6. Déclaration étroite
$stmt->close();
} else {
echo "Error: " . $stmt->error;
}
?>
Créons dynamiquement les requêtes: nous construisons dynamiquement des instructions de requête SQL en fonction du tableau des filtres $ , ajoutant des conditions uniquement en cas de besoin.
Paramètres de liaison dynamique: utilisez bind_param () pour lier les paramètres de requête. Nous passons des paramètres via call_user_func_array , ce qui nous permet de gérer n'importe quel nombre de paramètres de requête.
Exécution de la requête: Enfin, exécutez la requête via EXECUTE () et utilisez get_result () pour obtenir le résultat de la requête.
Grâce à la méthode ci-dessus, nous pouvons implémenter la prise en charge des paramètres dynamiques dans la fonction MySQLI :: STMT_INIT , et nous pouvons également traiter de manière flexible les paramètres de requête. Les requêtes paramétrées dynamiques augmentent non seulement la flexibilité de la requête, mais empêchent également efficacement l'injection de SQL et assurent la sécurité de l'application.
Veuillez noter: Dans les projets réels, assurez-vous que tous les paramètres de l'entrée de l'utilisateur sont strictement vérifiés et désinfectés, en particulier lors de la gestion des requêtes dynamiques. Évitez d'épisser directement les instructions SQL et utilisez toujours des instructions de préparation et des paramètres de liaison pour exécuter des requêtes.
