预编译pdo

‘壹’ PDO中的预处理对象有什么意义与作用

程序设计领域中，预处理一般是指在程序源代码被翻译为目标代码的过程中，生成二进制代码之前的过程。典型地，由预处理器(preprocessor) 对程序源代码文本进行处理，得到的结果再由编译器核心进一步编译。这个过程并不对程序的源代码进行解析，但它把源代码分割或处理成为特定的单位——（用C/C++的术语来说是）预处理记号(preprocessing token)用来支持语言特性（如C/C++的宏调用）。

‘贰’ 为什么说php必须要用PDO

根据PHP官方计划，PHP6正式到来之时，数据库链接方式统一为PDO。但是总有一小撮顽固分子，趁PHP官方还没正式统一时，还用老式的MYSQL驱动链接数据库。即使现在有部分程序改用Mysqli/pdo，只要没用到预编译，均和老式的Mysql驱动没多大区别。在此，我就不点评国内的PHP生态环境了。
回归主题，为什么说PHP必须要用PDO？除了官方要求之外，我认为作为PHP程序员，只要你目前是做开发的话，那么请选择用PDO的程序/框架！PDO除了安全和万金油式数据库链接，还有一点是我目前觉得非常好用的！下面我就用我最近的切身体会来说。
业务环境：公司某老架构，数据库设计的人员太菜了，设计过程完全没有按照数据库范式进行。各种表中使用大量的序列化形式保存（补充：json同理）。
出现问题：销售的客服反馈，网站某用户在编辑地址时，Mysql报错了。
问题猜想：不用说了。肯定是引号，反斜杠引起序列化入库不正常。

‘叁’ 为什么 PHP 应该使用 PDO 方式访问数据库

很多程序员都学习过如何使用 MySQL 或 MySQLi 扩展访问数据库。在 PHP 5.1 中，有一个更好的方法。PHP Data Objects(PDO) 提供了很多预处理语句的方法，且使用对象将使你的工作更有成效！

PDO 介绍

“PDO – PHP Data Objects – 是一个对多种数据库提供统一操作方法的数据库访问层。”

它并不具备数据库特有的语法，但它将使切换数据库和平台更加容易，多数情况下，只需要简单修改链接字符串。

这并非一篇完整教导如何使用SQL的教程。它重要为那些现今仍在使用 mysql 或 mysqli 扩展的人，帮助他们跃至更具可移植性和强力的 PDO。

数据库支持

此扩展可以使用 PDO 驱动编写过的所有数据库。在本文书写时，下面的数据库支持已经实现：

PDO_DBLIB ( FreeTDS / Microsoft SQL Server / Sybase )

PDO_FIREBIRD ( Firebird/Interbase 6 )

PDO_IBM ( IBM DB2 )

PDO_INFORMIX ( IBM Informix Dynamic Server )

PDO_MYSQL ( MySQL 3.x/4.x/5.x )

PDO_OCI ( Oracle Call Interface )

PDO_ODBC ( ODBC v3 (IBM DB2, unixODBC and win32 ODBC) )

PDO_PGSQL ( PostgreSQL )

PDO_SQLITE ( SQLite 3 and SQLite 2 )

PDO_4D ( 4D )

你的系统不会也不必支持所有上面的驱动；下面是一个快速检查所支持数据库的方法：

1 print_r(PDO::getAvailableDrivers());

连接

不同数据库的连接方法可能稍有不同，下面是一些较为流行的数据库连接方法。你将注意到，虽然数据库类型不同，前三种数据库的连接方式是相同的——而 SQLite 使用自己的语法。

Connection String

01 try {

02 # MS SQL Server andSybase with PDO_DBLIB

03 $DBH = newPDO("mssql:host=$host;dbname=$dbname, $user, $pass");

04 $DBH = newPDO("sybase:host=$host;dbname=$dbname, $user, $pass");

05

06 # MySQL with PDO_MYSQL

07 $DBH = newPDO("mysql:host=$host;dbname=$dbname", $user, $pass);

08

09 # SQLite Database

10 $DBH = newPDO("sqlite:my/database/path/database.db");

11 }

12 catch(PDOException $e) {

13 echo$e->getMessage();

14 }

注意 try/catch 块——你应该总是使用 try/catch 包装你的 PDO 操作，并使用异常机制——这里只是简单的示例。通常，你只需要一个连接——有很多可以教你语法的列表。 $DBH 代表“数据库句柄”，这将贯穿全文。

通过将句柄设置为 NULL，你可以关闭任一连接。

1 # close the connection

2 $DBH = null;

你可以在PHP.net找到更多数据库特定选项和/或其它数据库连接字符串的信息。

异常与 PDO

PDO 可以使用异常处理错误，这意味着你的所有 PDO 操作都应当包装在一个 try/catch 块中。你可以通过设定错误模式属性强制 PDO 在新建的句柄中使用三种错误模式中的某一个。下面是语法：

1 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_SILENT );

2 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING );

3 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

无论你设定哪个错误模式，一个错误的连接总会产生一个异常，因此创建连接应该总是包装在 try/catch 块中。

PDO::ERRMODE_SILENT

这是默认的错误模式。如果你使用这个模式，你将得使用同 mysql 或 mysqli 扩展一样的方法差错。其它两种模式更适合 DRY 编程。

PDO::ERRMODE_WARNING

此方法将会发出一个标准PHP警告，并允许程序继续运行。这对调试很有帮助。

PDO::ERRMODE_EXCEPTION

这是多数情况下你所希望的方式。它生成异常，允许你更容易的处理错误，隐藏可能导致它人了解你系统的信息。下面是一个充分利用异常的示例：

01 # connect to the database

02 try {

03 $DBH = newPDO("mysql:host=$host;dbname=$dbname", $user, $pass);

04 $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

05

06 # UH-OH! Typed DELECT instead of SELECT!

07 $DBH->prepare('DELECT name FROM people');

08 }

09 catch(PDOException $e) {

10 echo"I'm sorry, Dave. I'm afraid I can't do that.";

11 file_put_contents('PDOErrors.txt', $e->getMessage(), FILE_APPEND);

12 }

在 select 语句中有一个故意留下的错误；这将导致一个异常。异常错误细节保存至一个 log 文件，并生成一段友好的（或不怎么友好的）信息于用户。

插入和更新

插入新数据，更新已存数据是一种非常常见的数据库操作。使用 PDO，这通常需要两个步骤。本节中所述的所有内容对更新和插入都有效。

这里有一个最基本的插入示例：

1 # STH means "Statement Handle"

2 $STH = $DBH->prepare("INSERT INTO folks ( first_name ) values ( 'Cathy' )");

3 $STH->execute();

你也可以使用 exec() 完成相同的操作，这将减少调用。多数情况下，你会使用调用多的方法，以充分利用语句预处理的优势。即使你只用它一次，使用语句预处理，帮助你保护你的 SQL 免于注入攻击。

预处理语句

使用语句预处理将帮助你免于SQL注入攻击。

一条预处理语句是一条预编译的 SQL 语句，它可以使用多次，每次只需将数据传至服务器。其额外优势在于可以对使用占位符的数据进行安全处理，防止SQL注入攻击。

你通过在 SQL 语句中使用占位符的方法使用预处理语句。下面是三个例子：一个没有占位符，一个使用无名占位符，一个使用命名占位符。

1 # no placeholders - ripe for SQL Injection!

2 $STH = $DBH->("INSERT INTO folks (name, addr, city) values ($name, $addr, $city)");

3

4 # unnamed placeholders

5 $STH = $DBH->("INSERT INTO folks (name, addr, city) values (?, ?, ?);

6

7 # named placeholders

8 $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");

你希望避免第一种方法。选择命名我无名占位符将会对你对语句中数据的设置产生影响。

无名占位符

01 # assign variables to each place holder, indexed 1-3

02 $STH->bindParam(1, $name);

03 $STH->bindParam(2, $addr);

04 $STH->bindParam(3, $city);

05

06 # insert one row

07 $name = "Daniel"

08 $addr = "1 Wicked Way";

09 $city = "Arlington Heights";

10 $STH->execute();

11

12 # insert another row with different values

13 $name = "Steve"

14 $addr = "5 Circle Drive";

15 $city = "Schaumburg";

16 $STH->execute();

这里有两步。首先，我们对各个占位符指定变量（2-4行）。然后，我们对各个占位符指定数据，并执行语句。要发送另一组数据，只需改变这些变量的值并再次执行语句。

这种方法看上去对拥有很多参数的语句很笨拙吧？的确。然而，当数据保存于数组中时，这非常容易简略：

1 # the data we want to insert

2 $data = array('Cathy', '9 Dark and Twisty Road', 'Cardiff');

3

4 $STH = $DBH->("INSERT INTO folks (name, addr, city) values (?, ?, ?);

5 $STH->execute($data);

容易吧！

数组中的数据按顺序填入占位符中。 $data[0]是第一个，$data[1]是第二个，依次。不过，要是数组中数据的次序不正确，这将不能正常运行，你需要先对数组排序。

命名占位符

你可能已经开始猜测语法了，不过下面就是示例：

1 # the first argument is the named placeholder name - notice named

2 # placeholders always start with a colon.

3 $STH->bindParam(':name', $name);

你可以看使用快捷方式，但它需使用关联数组。下面是示例：

1 # the data we want to insert

2 $data = array( 'name' => 'Cathy', 'addr' => '9 Dark and Twisty', 'city' => 'Cardiff' );

3

4 # the shortcut!

5 $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");

6 $STH->execute($data);

数组中的键不需要以冒号开头，但其它部分需要同占位符匹配。如果你有一个二维数组，你只需遍历它，并对遍历的每个数组执行语句。

命名占位符的另一个好的功能是直接将对象插入到你的数据库中，只要属性同命名字段匹配。下面是一个示例对象，以及如何将它插入到数据库中的示例：

01 # a simple object

02 class person {

03 public $name;

04 public $addr;

05 public $city;

06

07 function __construct($n,$a,$c) {

08 $this->name = $n;

09 $this->addr = $a;

10 $this->city = $c;

11 }

12 # etc ...

13 }

14

15 $cathy = new person('Cathy','9 Dark and Twisty','Cardiff');

16

17 # here's the fun part:

18 $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");

19 $STH->execute((array)$cathy);

通过在执行时将对象转换为数组，输将将会同数组的键一样对待。

‘肆’ PHP PDO驱动问题，怎么解决

最简单的方法把这个预编译写法是把SQL指令预先放到SQL服务器，命令执行的时候在动态的传递数据

这个写法的一个好处是安全，防止SQL注入，因为放了一个问号，就已经表示那是数据而不是一个SQL可执行的语句

第二个好处是可以一次编译多次执行，在执行多个相似操作的时候，会加快SQL的速度，降低SQL服务器的负担就这样试试吧，如果你对php有兴趣的话，可以向我一样在后盾人平台多看看自己学习学习，时间长了自己就慢慢明白了，希望能帮到你，给个采纳吧谢谢o(〒㉨〒)o

‘伍’ php防sql注入的代码

一、 注入式攻击的类型
可能存在许多不同类型的攻击动机，但是乍看上去，似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面，我们会对此作详细讨论。
如
果你的脚本正在执行一个SELECT指令，那么，攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中，如下所示(其中，注入部分以粗体显示)：
SELECT * FROM wines WHERE variety = ’lagrein’ OR 1=1;’

正如我们在前面所讨论的，这本身可能是很有用的信息，因为它揭示了该表格的一般结构(这是一条普通的记录所不能实现的)，以及潜在地显示包含机密信息的记录。
一条更新指令潜在地具有更直接的威胁。通过把其它属性放到SET子句中，一名攻击者可以修改当前被更新的记录中的任何字段，例如下面的例子（其中，注入部分以粗体显示）：
UPDATE wines SET type=’red’，’vintage’=’9999’ WHERE variety = ’lagrein’

通过把一个例如1=1这样的恒真条件添加到一条更新指令的WHERE子句中，这种修改范围可以扩展到每一条记录，例如下面的例子（其中，注入部分以粗体显示）：
UPDATE wines SET type=’red’，’vintage’=’9999 WHERE variety = ’lagrein’ OR 1=1;’

最危险的指令可能是DELETE-这是不难想象的。其注入技术与我们已经看到的相同-通过修改WHERE子句来扩展受影响的记录的范围，例如下面的例子（其中，注入部分以粗体显示）：
DELETE FROM wines WHERE variety = ’lagrein’ OR 1=1;’

二、 多个查询注入
多个查询注入将会加剧一个攻击者可能引起的潜在的损坏-通过允许多条破坏性指令包括在一个查询中。在使用MySQL数据库时， 攻击者通过把一个出乎意料之外的终止符插入到查询中即可很容易实现这一点-此时一个注入的引号(单引号或双引号)标记期望变量的结尾；然后使用一个分号终 止该指令。现在，一个另外的攻击指令可能被添加到现在终止的原始指令的结尾。最终的破坏性查询可能看起来如下所示：
SELECT * FROM wines WHERE variety = ’lagrein’;
GRANT ALL ON *.* TO ’BadGuy@%’ IDENTIFIED BY ’gotcha’;’

这个注入将创建一个新的用户BadGuy并赋予其网络特权（在所有的表格上具有所有的特权）；其中，还有一个"不祥"的口令被加入到这个简单的SELECT语句中。如果你遵循我们在以前文章中的建议－严格限制该过程用户的特权，那么，这应该无法工作，因为web服务器守护程序不再拥有你撤回的GRANT特权。但是从理论上讲，这样的一个攻击可能给予BadGuy自由权力来实现他对你的数据库的任何操作。
至 于这样的一个多查询是否会被MySQL服务器处理，结论并不唯一。这其中的一些原因可能是由于不同版本的MySQL所致，但是大多数情况却是由于多查询存 在的方式所致。MySQL的监视程序完全允许这样的一个查询。常用的MySQL GUI-phpMyAdmin，在最终查询之前会复制出以前所有的内容，并且仅仅这样做。
但是，大多数的在一个注入上下文中的多查询都是由PHP的mysql 扩展负责管理的。幸好，默认情况下，它是不允许在一个查询中执行多个指令的；试图执行两个指令(例如上面所示的注入)将会简单地导致失败-不设置任何错 误，并且没有生成任何输出信息。在这种情况下，尽管PHP也只是"规规矩矩"地实现其缺省行为，但是确实能够保护你免于大多数简单的注入式攻击。
PHP5中的新的mysqli扩展(参考http://php.net/mysqli)，就象mysql一样，内在地也不支持多个查询，不过却提供了一个mysqli_multi_query()函数以支持你实现多查询-如果你确实想这样做的话。
然而，对于SQLite-与PHP5绑定到一起的可嵌入的SQL数据库引擎(参考http://sqlite.org/和http://php.net/sqlite) 情况更为可怕，由于其易于使用而吸引了大量用户的关注。在有些情况下，SQLite缺省地允许这样的多指令查询，因为该数据库可以优化批查询，特别是非常 有效的批INSERT语句处理。然而，如果查询的结果为你的脚本所使用的话（例如在使用一个SELECT语句检索记录的情况下）， sqlite_query()函数却不会允许执行多个查询。三、 INVISION Power BOARD SQL注入脆弱性
Invision Power Board是一个着名的论坛系统。2005年五月6号，在登录代码中发现了一处SQL注入脆弱性。其发现
者为GulfTech Security Research的James Bercegay。
这个登录查询如下所示：
$DB->query("SELECT * FROM ibf_members WHERE id=$mid AND password=’$pid’");

其中，成员ID变量$mid和口令ID变量$pid被使用下面两行代码从my_cookie()函数中检索出：
$mid = intval($std->my_getcookie(’member_id’));
$pid = $std->my_getcookie(’pass_hash’);

在此，my_cookie()函数使用下列语句从cookie中检索要求的变量：
return urldecode($_COOKIE[$ibforums->vars[’cookie_id’].$name]);

【注意】从该cookie返回的值根本没有被处理。尽管$mid在使用于查询之前被强制转换成一个整数，但是$pid却保持不变。因此，它很容易遭受我们前面所讨论的注入类型的攻击。
因此，通过以如下方式修改my_cookie()函数，这种脆弱性就会暴露出来：
if ( ! in_array( $name，array(’topicsread’， ’forum_read’，’collapseprefs’) ) )
{
return $this->
clean_value(urldecode($_COOKIE[$ibforums->vars[’cookie_id’].$name]));
else
{
return urldecode($_COOKIE[$ibforums->vars[’cookie_id’].$name]);
}

经过这样的改正之后，其中的关键变量在"通过"全局clean_value()函数后被返回，而其它变量却未进行检查。
现 在，既然我们大致了解了什么是SQL注入，它的注入原理以及这种注入的脆弱程度，那么接下来，让我们探讨如何有效地预防它。幸好，PHP为我们提供了丰富 的资源，因此我们有充分的信心预言，一个经仔细地彻底地使用我们所推荐的技术构建的应用程序将会从你的脚本中根本上消除任何可能性的SQL注入-通过在它 可能造成任何损坏之前"清理"你的用户的数据来实现。
四、 界定你的查询中的每一个值
我们推荐，你确保界定了你的查询中的每一个值。字符串值首当其冲，以及那些你通常期望应该使用"单"(而不是"双")引号的内容。一方面，如果你使用双引 号来允许PHP在字符串内的变量替代，这样可以使得输入查询更为容易些；另一方面，这(无可否认，只是极少量地)也会减少以后PHP代码的分析工作。
下面，让我们使用我们一开始使用的那个非注入式查询来说明这个问题：
SELECT * FROM wines WHERE variety = ’lagrein’

或以PHP语句表达为：
$query = "SELECT * FROM wines WHERE variety = ’$variety’";

从技术上讲，引号对于数字值来说是不需要使用的。但是，如果你并不介意用引号把例如葡萄酒这样的一个域相应的一个值括起来并且如果你的用户把一个空值输入到你的表单中的话，那么，你会看到一个类似下面的查询：
SELECT * FROM wines WHERE vintage =

当然，这个查询从语法上讲是无效的；但是，下面的语法却是有效的：
SELECT * FROM wines WHERE vintage = ’’

第二个查询将(大概)不会返回任何果，但是至少它不会返回一个错误消息。
五、 检查用户提交的值的类型
从前面的讨论中我们看到，迄今为止，SQL注入的主要来源往往出在一个意料之外的表单入口上。然而，当你经由一个表单向用户提供机会提交某些值时，你应该有相当的优势来确
定 你想取得什么样的输入内容-这可以使得我们比较容易地检查用户入口的有效性。在以前的文章中，我们已经讨论过这样的校验问题；所以，在此，我们仅简单地总 结当时我们讨论的要点。如果你正在期望一个数字，那么你可以使用下面这些技术之一来确保你得到的真正是一个数字类型：
�6�1 使用is_int()函数(或is_integer()或is_long())。
�6�1 使用gettype()函数。
�6�1 使用intval()函数。
�6�1 使用settype()函数。
为 了检查用户输入内容的长度，你可以使用strlen()函数。为了检查一个期望的时间或日期是否有效，你可以使用strtotime()函数。它几乎一定 能够确保一位用户的入口中没有包含分号字符(除非标点符号可以被合法地包括在内)。你可以借助于strpos()函数容易地实现这一点，如下所示：if( strpos( $variety， ’;’ ) ) exit ( "$variety is an invalid value for variety!" );

正如我们在前面所提到的，只要你仔细分析你的用户输入期望，那么，你应该能够很容易地检查出其中存在的许多问题。
六、 从你的查询中滤去每一个可疑字符
尽管在以前的文章中，我们已经讨论过如何过滤掉危险字符的问题；但是在此，还是让我们再次简单地强调并归纳一下这个问题：
�6�1 不要使用magic_quotes_gpc指令或它的"幕后搭挡"-addslashes()函数，此函数在应用程序开发中是被限制使用的，并且此函数还要求使用额外的步骤-使用stripslashes()函数。
�6�1 相比之下，mysql_real_escape_string()函数更为常用，但是也有它自己的缺点。

‘陆’ php中防止SQL注入的最好方法是什么

使用预备义语句和参数化查询。对于带有任何参数的sql语句都会被发送到数据库服务器，并被解析！对于攻击者想要恶意注入sql是不可能的！ 实现这一目标基本上有两种选择： 1.使用PDO(PHP Data Objects )：$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array(':name' => $name)); foreach ($stmt as $row) { // do something with $row }2.使用mysqli:$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }PDO(PHP数据对象) 注意当使用PDO访问MySQL数据库真正的预备义语句并不是默认使用的！为了解决这个问题，你必须禁用仿真准备好的语句。使用PDO创建连接的例子如下： $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);在上面例子中错误模式ERRMODE不是严格必须的，但是建议添加它。当运行出错产生致命错误时，这种方法脚本不会停止。并给开发人员捕捉任何错误的机会（当抛出PDOException异常时）。 setAttribute()那一行是强制性的，它告诉PDO禁用仿真预备义语句，使用真正的预备义语句。这可以确保语句和值在发送给MySQL数据库服务器前不被PHP解析(攻击者没有机会注入恶意的SQL). 当然你可以在构造函数选项中设置字符集参数，特别注意'老'的PHP版本（5.3.6）会在DSN中忽略掉字符集参数。 这里最重要的是，该参数值是和预编译的语句结合的，而不是和一个SQL字符串.SQL注入的工作原理是通过欺骗手段创建的SQL脚本包括恶意字符串发送到数据库.因此，通过发送实际的分开的sql参数,你会降低风险.使用准备好的语句时，你发送的任何参数，将只被视为字符串（虽然数据库引擎可能会做一些参数的优化，当然最终可能会为数字）.在上面的例子中，如果变量$name包含'sarah';DELETE * FROM employees,结果只会是一个搜索的字符串"'sarah';DELETE * FROM employees",你不会得到一个空表。 使用准备好的语句的另一个好处是，如果你在同一会话中多次执行相同的语句，这将只被解析和编译一次，给你一些的速度增长。

‘柒’ PDO预处理与绑定参数预处理意思一样么

这里没有一样或者不一样的说法，PDO的预处理语句就是把你想要运行的sql语句编译成一种模板，然后可以绑定参数去处理。

它的好处是，sql语句只解析一次，可以对参数绑定一次或者多次执行，提高了性能，节约了带宽的传输。
另外可以防止sql注入，是安全的做法

‘捌’ php在5.1.*和5.2.*之间pdo数据库操作中的不同

数据库连接代码都一样.

?

$protol = 'mysql:host=localhost;dbname=test';

$username = 'monty';

$passwd = '0818';

$dbh = new PDO($protol, $username, $passwd);

以下是一些测试。注意里面的SQL和for或者foreach语句!

测试1(用key值进行绑定)

?

$stmt = $dbh->prepare('select * from t1 where name=:name');

$params = array();

$params['name'] = 'rentao';

foreach($params
as $k=>$v){

$stmt->bindParam($k, $v);

}

$stmt->execute();

$item = array();

while($row
= $stmt->fetch(PDO::FETCH_ASSOC)){

var_mp($row);

}

$stmt = null;

$dbh = null;

总结

PHP在使用PDO做数据库预编译操作的时候，尽量避免使用limit, order by, group by
做预编译处理。绑定变量我们尽量使用统一标准，要不然都使用“？”，要不然使用“：key”。

有用的命令，我在php5.1.*进行测试，测试完了，我通过scp把文件传输到php5.2.*服务器上

?

scp -P9888 index.php [email protected]:/home/rentao