如何在多用户网站中使用准备好的语句?

哪里(在代码中)将准备好的语句的元素放置在许多用户与数据库交互的网站中?


我正在将我的代码从使用转换$mysqli->escape_string为使用准备好的语句,因为人们说这是防止 sql 注入的更好方法。


它只是简单地删除所有$mysqli->escape_strings 并替换我的代码的其他部分,如下所示:


$mysqli->query("update `users` set `email`='$newEmail' where `userid`={$_SESSION['userid']} limit 1");

替换为:


$stmt = $mysqli->prepare("update `users` set `email`=? where `userid`=? limit 1");

$stmt->bind_param('si',$newEmail,$_SESSION['userid']);

$stmt->execute();

$stmt->close();

?


人们说准备好的语句更有效,因为语句模板只准备一次,然后可以与不同的参数一起重复使用。但是在上面的代码替换中,不是每次用户想要更新他们的电子邮件地址时都要完成模板准备吗?我应该在服务器启动时准备所有语句吗?并且不再准备它们?(虽然我不知道该怎么做。)prepare,bind_param和close应该放在我网站代码的什么地方?


PIPIONE
浏览 110回答 1
1回答

倚天杖

是否只是删除所有 $mysqli->escape_strings 并用占位符替换变量是的。人们说准备好的语句更有效,因为语句模板只准备一次,然后可以与不同的参数一起重复使用。忘掉它。没有办法在请求之间重用准备好的语句。它仅适用于语句变量,因此仅适用于单个 PHP 实例。意味着您只能将其用于重复插入/更新。即使在那里,收益也不是什么显着的东西。这更像是一种营销技巧,而不是真正有用的功能。
打开App,查看更多内容
随时随地看视频慕课网APP