PHP中使用参数化查询

PHP 中提供了三种访问 MySQL 数据库的扩展，即 mysql，mysqli 和 PDO。它们的区别可以比较如下：

扩展	mysql	mysqli	PDO
PHP 版本	2.0+	5.0+	5.1+
生命周期	废弃	活跃	活跃
面向对象语法	否	是	是
过程式语法	是	是	否
服务器端预处理语句	否	是	是
客户端预处理语句	否	否	是

上面所说的预处理语句就是用于参数化查询的。可以看到，除了旧的 mysql 扩展不支持，mysqli 和 PDO 这两个新扩展都支持参数化查询。PDO 扩展相比 mysqli 扩展的好处是，它是与关系数据库类型无关的，因此很方便切换数据库，比如从 MySQL 切换到 PostgreSQL。

首先我们来看看利用 mysqli 扩展如何使用参数化查询。例如：

$mysqli = new mysqli("localhost","dbusername", "dbpassword", "database");

$username= "somename";
$password= "someword";

$query = "SELECT filename, filesize FROM users WHERE (name = ?) and (password = ?)";

$stmt = $mysqli->stmt_init();

if ($stmt->prepare($query)) {
$stmt->bind_param("ss",$username, $password);
$stmt->execute();

$stmt->bind_result($filename,$filesize);
while($stmt->fetch()) {
printf ("%s : %d\n",$filename, $filesize);
}
$stmt->close();
}

$mysqli->close();

再看看用 PDO 扩展如何使用参数化查询。例如：

$pdo = new PDO("mysql:host=localhost;dbname=database","dbusername", "dbpassword");

$username= "somename";
$password= "someword";

$query = "SELECT * FROM users WHERE (name = :username) and (password = :password)";

$statement= $pdo->prepare($query,array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$statement->bindParam(":username",$username, PDO::PARAM_STR, 10);
$statement->bindParam(":password",$password, PDO::PARAM_STR, 12);
$statement->execute();

while ($row = $statement->fetch(PDO::FETCH_ASSOC)) {
printf ("%s : %d\n",$row["filename"],$row["filesize"]);
}
$statement->closeCursor();

$pdo = null;