参数化查询解释在这里:Wiki参数化查询 (少有的Wiki中文比英文介绍的要详细的编程条目)
PDO中参数化查询主要用到prepare()方法,然后这个方法会返回一个PDOStatement对象,也就SQL声明(不知道怎么翻译),此时SQL语句只是被编译,但并未执行,调用PDOStatement中方法后会执行SQL语句,如下示例:
$sm = $db->prepare('SELECT login_oid FROM logined WHERE user_id=:user_id;');
$sm->bindValue(':user_id', $user_id, PDO::PARAM_INT);
$sm -> execute();
在execute()执行前,就可以调用bindValue()或者bindParam()方法替换之前准备的SQL语句中的你指定参数了,在SQL语句中指定参数有两种方式:':name'和'?',上面代码中的用的是前一种,后一种的方式是:
$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?;');
$sm->bindValue(1, $calories, PDO::PARAM_INT);
$sm->execute();
bindValue()有三个参数,第一个指定要替换掉SQL语句中哪一个参数,第二个指定替换后的值,第三个指定值的类型,类型对应如下:
PDO::PARAM_BOOL
布尔类型
PDO::PARAM_NULL
NULL类型
PDO::PARAM_INT
整数类型
PDO::PARAM_STR
字符串类型如 CHAR, VARCHAR, string
PDO::PARAM_LOB
资源类大对象,如文件等
PDO::PARAM_STMT
不知道
PDO::PARAM_INPUT_OUTPUT
这个好像是扩展类型
里面没有提供实数类型,这个很诧异
再说说execute()这个方法,它本身也可以做参数替换,但是它会把所有值的类型都变成字符串类型,如下
$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?;');
$sm->execute(array($calories));
多参数替换如下
$sm = $db->prepare('SELECT * FROM fruit WHERE calories < ?, id < ?;');
$sm->execute(array($calories, $user_id));