SQL预处理语句(Prepared Statements)用法举例

/*
使用预处理语句重复插入数据(1)
此示例演示了一个通过向命名占位符代入一个name和一个value值来执行的insert查询
*/
$stmt = $dbh->prepare("insert into registry (name, value) values (:name, :value)");
$stmt->bindparam(':name', $name);
$stmt->bindparam(':value', $value); //插入一行
$name = 'one';
$value = 1;
$stmt->execute();//使用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
/*
使用预处理语句重复插入数据(2)
此示例演示了一个通过向用?表示的占位符代入一个name和一个value值来执行的insert查询
*/
$stmt = $dbh->prepare("insert into registry (name, value) values (?, ?)");
$stmt->bindparam(1, $name);
$stmt->bindparam(2, $value); // 插入一行
$name = 'one';
$value = 1;
$stmt->execute(); // 使用不同的值插入另一行
$name = 'two';
$value = 2;
$stmt->execute();
/*
通过预处理语句获取数据
此示例演示使用从表单获取的数据为关键值来执行查询获取数据。用户的输入会被自动添加引号，所以这儿不存在sql注入攻击的危险。
*/
$stmt = $dbh->prepare("select * from registry where name = ?");
    if ($stmt->execute(array($_get['name']))) {
        while ($row = $stmt->fetch()) {
        print_r($row);
    }
}
 

/*
实例化user模型
*/
$model = d('user');
/*
定义预处理传入数据
*/
$data['username'] = 'deeka';
$data['password'] = '123456';
/*
数据预处理
*/
if($model->create($data)){
    $model->add();
}