手册

PHP教程

简介安装注释多行注释变量变量作用域 Echo / Print 数据类型字符串字符串修改字符串连接字符串切片转义字符数字类型转换数学常量魔法常量运算符 if if 运算符 if...else 简写 if 嵌套 if switch 循环 While 循环 do while 循环 for 循环 foreach 循环 Break Continue 函数数组索引数组关联数组创建数组访问数组更新数组项添加数组项删除数组项数组排序多维数组数组函数超全局变量 $GLOBALS $_SERVER $_REQUEST $_POST $_GET 正则表达式

PHP表单

表单处理表单验证表单必填字段表单 URL/E-mail 完整表单实例

PHP高级教程

日期和时间包含文件文件处理文件打开/读取文件创建/写入文件上传 Cookie 会话过滤器过滤器进阶回调函数 JSON 异常

PHP OOP

什么是 OOP？类/对象构造函数析构函数访问修饰符继承类常量抽象类接口 Trait 静态方法静态属性命名空间 Iterable

PHP数据库

数据库连接创建 DB 创建表格插入数据获取最后的 ID 插入多条记录 Prepared 选取数据 WHERE ORDER BY 删除数据更新数据限制数据

PHP XML

XML 解析器 SimpleXML 解析器 SimpleXML - 获取 XML Expat XML DOM 解析器

PHP和AJAX

简介 PHP 数据库 XML 实时搜索 Poll

首页后端开发 PHP PHP课程

Prepared

阅读7927

更新时间2025-08-06

插入多条记录

选取数据

预备语句和绑定参数

预备语句是一个功能，用于高效地重复执行相同（或相似）的SQL语句。

预备语句基本上是这样工作的：

准备：创建 SQL 语句模板并发送到数据库。值未指定，称为参数（标记为 "?"）。例如：INSERT INTO MyGuests VALUES(?, ?, ?)
数据库解析，编译，并对SQL语句模板执行查询优化，然后存储结果而不执行它。
执行：稍后，应用程序将值绑定到参数，然后数据库执行该语句。应用程序可以使用不同的值多次执行该语句。

与直接执行SQL语句相比，预备语句具有三个主要优点：

由于查询的准备工作仅执行一次（尽管语句执行了多次），因此预备语句减少了解析时间。
绑定参数最小化了到服务器的带宽，因为您每次只需要发送参数，而不是整个查询。
预备语句对于防止 SQL 注入非常有用，因为稍后使用不同协议传输的参数值不需要正确转义。如果原始语句模板不是从外部输入派生的，则不会发生SQL注入。

MySQLi 中的预备语句

下例在 MySQLi 中使用预备语句和绑定参数：

实例（使用预备语句的MySQLi）

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
  die("连接失败：" . $conn->connect_error);
}

// 准备并绑定
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);

// 设置参数并执行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();

$firstname = "Julie";
$lastname = "Dooley";
$email = "julie@example.com";
$stmt->execute();

echo "新记录已成功创建";

$stmt->close();
$conn->close();
?>

上面的例子中需要说明的代码行：

"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"

在我们的SQL中，我们在要替换为整数，字符串，双精度或 blob 值的位置插入一个问号（?）。

然后，看一下 bind_param() 函数：

$stmt->bind_param("sss", $firstname, $lastname, $email);

此函数将参数绑定到 SQL 查询，并告诉数据库参数是什么。"sss" 参数列出了参数的数据类型。s 字符告诉 mysql 参数是一个字符串。

参数可能是以下四种类型之一：

i - integer
d - double
s - string
b - BLOB

每个参数必须是其中的类型之一。

通过告诉 mysql 要期望的数据类型，我们将 SQL 注入的风险降到最低。

注意：如果我们想从外部来源（如用户输入）插入任何数据，对数据进行清理和验证非常重要。

PDO 中的预备语句

下例在 PDO 中使用预备语句和绑定参数：

实例（使用预备语句的 PDO）

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";

try {
  $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
  // 将 PDO 错误模式设置为异常
  $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

  // 准备 sql 并绑定参数
  $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
  VALUES (:firstname, :lastname, :email)");
  $stmt->bindParam(':firstname', $firstname);
  $stmt->bindParam(':lastname', $lastname);
  $stmt->bindParam(':email', $email);

  // 插入一行
  $firstname = "John";
  $lastname = "Doe";
  $email = "john@example.com";
  $stmt->execute();

  // 插入另一行
  $firstname = "Mary";
  $lastname = "Moe";
  $email = "mary@example.com";
  $stmt->execute();

  // 插入另一行
  $firstname = "Julie";
  $lastname = "Dooley";
  $email = "julie@example.com";
  $stmt->execute();

  echo "新记录已成功创建";
} catch(PDOException $e) {
  echo "错误: " . $e->getMessage();
}
$conn = null;
?>

插入多条记录

选取数据