PDO::prepare

(PHP 5 >= 5.1.0, PHP 7, PHP 8, PHP 8,PECL pdo >= 0.1.0)

PDO::prepare 準備要執(zhí)行的語句,并返回語句對象

說明

public PDO::prepare(string $statement, array $driver_options = array()): PDOStatement

PDOStatement::execute() 方法準備待執(zhí)行的 SQL 語句。 語句模板可以包含零個或多個參數占位標記,格式是命名(:name)或問號(?)的形式,當它執(zhí)行時將用真實數據取代。 在同一個語句模板里,命名形式和問號形式不能同時使用;只能選擇其中一種參數形式。 請用參數形式綁定用戶輸入的數據,不要直接字符串拼接到查詢里。

調用 PDOStatement::execute() 時,每一個值的參數占位標記,名稱必須唯一。 除非啟用模擬(emulation)模式,同一個語句里無法使用重名的參數。

注意:

參數占位符僅能字面上展示完整的數據。不能是字面的一部分,不能是關鍵詞,不能是標識符,不能是其他任意的范圍。 舉例說明:不能把多個值綁到單個參數里,然后在 SQL 語句里用 IN() 查詢。

如果用不同參數,通過 PDO::prepare()PDOStatement::execute() 多次調用同一個 SQL 語句,將提升應用的性能 —— 驅動可以讓客戶端/服務器緩存查詢和元信息。 同時,調用 PDO::prepare()PDOStatement::execute() 還能阻止 SQL 注入攻擊,不需要給參數手動加引號與轉義。

如果內置驅動不支持參數,PDO 將模擬出參數的功能;如果驅動僅僅支持其中一種風格(命名參數和問號參數兩種),也會自動重寫到另外一種風格。

注意: The parser used for emulated prepared statements and for rewriting named or question mark style parameters supports the non standard backslash escapes for single- and double quotes. That means that terminating quotes immediately preceeded by a backslash are not recognized as such, which may result in wrong detection of parameters causing the prepared statement to fail when it is executed. A work-around is to not use emulated prepares for such SQL queries, and to avoid rewriting of parameters by using a parameter style which is natively supported by the driver.

參數

statement

必須是對目標數據庫服務器有效的 SQL 語句模板。

driver_options

數組包含一個或多個 key=>value 鍵值對,為返回的 PDOStatement 對象設置屬性。 常見用法是:設置 PDO::ATTR_CURSORPDO::CURSOR_SCROLL,將得到可滾動的光標。 某些驅動有驅動級的選項,在 prepare 時就設置。

返回值

如果數據庫服務器完成準備了語句, PDO::prepare() 返回 PDOStatement 對象。 如果數據庫服務器無法準備語句, PDO::prepare() 返回 false 或拋出 PDOException (取決于 錯誤處理器)。

注意:

模擬模式下的 prepare 語句不會和數據庫服務器交互,所以 PDO::prepare() 不會檢查語句。

范例

示例 #1 命名參數形式的 SQL 語句模板

<?php
/* 傳入數組的值,并執(zhí)行準備好的語句 */
$sql 'SELECT name, colour, calories
    FROM fruit
    WHERE calories < :calories AND colour = :colour';
$sth $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$sth->execute(array(':calories' => 150':colour' => 'red'));
$red $sth->fetchAll();
$sth->execute(array(':calories' => 175':colour' => 'yellow'));
$yellow $sth->fetchAll();
?>

示例 #2 問號形式的 SQL 語句模板

<?php
/* 傳入數組的值,并執(zhí)行準備好的語句 */
$sth $dbh->prepare('SELECT name, colour, calories
    FROM fruit
    WHERE calories < ? AND colour = ?');
$sth->execute(array(150'red'));
$red $sth->fetchAll();
$sth->execute(array(175'yellow'));
$yellow $sth->fetchAll();
?>

參見