使用mysqli_prepare的好处就是,防止注入
原理大致上就是,在执行mysqli_prepare的时候,产生了一个协议(函数),bind_parms和execute相当于把值作为参数送入这个函数,所以无论如何都无法改变代码的结构,就不会有注入产生。
看了看网上关于这个资料还挺少的,不少人竟然用if语句来判断参数封装。简直了。
AND 有时候我们要改数据结构,如果绑定结果集会有不小的麻烦,我这里把结果转为了普通mysqli结果集
请注意:mysqli_stmt_get_result 要求mysqli使用mysqlnd的驱动
不喜欢在PHP上用OOP,所以给出的是Procedural style的代码。
function query($sql, $type, $data) {
$stmt=mysqli_prepare($link,$sql); //这里的link是mysqli_connect();获得的
array_unshift($data, $stmt, $type);//准备bind_param的参数,把stmt和type放在第一第二个
call_user_func_array("mysqli_stmt_bind_param",$data);//用这个解决多参数的无问题
if(!mysqli_stmt_execute($stmt))
{
halt("MySQL Query Error:", $sql); //出错的处理
}
$result=mysqli_stmt_get_result($stmt);//这里我返回了mysqli_result,可以用其他
mysqli_stmt_close($stmt);
return $result;
}
function fetch($result) {
return mysqli_fetch_array($result, MYSQLI_NUM);
}
function num_rows($result) {
return mysqli_num_rows($result);
}
$myID=1;
$myresult=query('SELECT * FROM my_table WHERE `id`=?','i',array(&$myID));
echo num_rows($myresult);//显示结果记录数
while($row=fetch($myresult))
{
print_r($row);
}
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。