17370845950

PHP PDO预处理语句通过prepare()和execute()方法实现，支持命名参数（:name）和位置占位符（?），结合bindParam()或bindValue()绑定变量，并指定PDO::PARAM_INT、PDO::PARAM_STR等类型以增强安全性，执行后使用fetch()、fetchAll()或fetchColumn()获取结果，有效防止SQL注入。

PHP PDO 的预处理语句（Prepared Statements）是一种安全执行 SQL 查询的方式，能有效防止 SQL 注入攻击。PDO 提供了两种使用预处理语句的方法，支持命名参数和占位符参数。

1. 使用 prepare() 和 execute() 方法

这是最常用的预处理方式，先准备 SQL 语句，再绑定参数并执行。

支持的参数形式：

• 命名参数（Named Parameters）：使用 :name 形式绑定变量
• 位置占位符（Positional Placeholders）：使用 ? 按顺序绑定值

示例：命名参数

$stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id AND status = :status");
$stmt->execute([':id' => 1, ':status' => 'active']);
$results = $stmt->fetchAll();

示例：位置占位符

$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute(['张三', 'zhangsan@example.com']);

2. 参数绑定方法（更精细控制）

除了 execute() 直接传数组，还可以使用以下方法逐个绑定参数：

• bindParam()：将 PHP 变量绑定到参数，支持输入/输出（引用传递）
• bindValue()：将值直接绑定到参数（值传递）

示例：bindParam()

$id = 2;
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");
$stmt->bindParam(':id', $id, PDO::PARAM_INT);
$stmt->execute();

示例：bindValue()

$stmt = $pdo->prepare("SELECT * FROM users WHERE active = ?");
$stmt->bindValue(1, true, PDO::PARAM_BOOL);
$stmt->execute();

3. 支持的 PDO 参数类型

在 bindParam 或 bindValue 中可指定数据类型，增强安全性：

• PDO::PARAM_INT：整型
• PDO::PARAM_STR：字符串
• PDO::PARAM_BOOL：布尔值
• PDO::PARAM_NULL：NULL 值

4. 执行后获取结果

预处理执行后，可用以下方法获取数据：

• fetch()：获取单行
• fetchAll()：获取所有行
• fetchColumn()：获取单个值（如统计数量）

基本上就这些，核心是 prepare + execute 或配合 bind 方法使用，灵活又安全。