为什么PDO中的INSERT INTO过于复杂？ [关闭]

So I have to change all the mysql_ commands to PDO becuase they are officially depreciated and PDO is the most universal. Why the INSERT ones are so complex and what is benefit of this?

For example in my old code I do this:

mysql_connect("$host", "$username", "$db_password")or die("cannot connect"); 
mysql_select_db("$db_name")or die("cannot select DB");
mysql_query("INSERT INTO $tbl_name(this, that, him, her) VALUES('$this', '$that', '$him', '$her')")or die(mysql_error());

And with PDO

$conn = new PDO('mysql:host=HST_NAME;dbname=DB_NAME;charset=utf8', 'USER', 'PASSWORD');
$sql = "INSERT INTO books (this, that, him, her) VALUES (:this,:that,:him,:her)";
$q = $conn->prepare($sql);
$q->execute(array(':this'=>$this,
                  ':that'=>$that,
                  ':him'=>$him,
                  ':her'=>$her ));

When I have to input lots of data at once the PDO will get huge. What is the benefit of this?

Looking for a why to do answer and not a what to do

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douchun3680 2013-04-21 12:23
关注
You should not be using variables directly in SQL statements; this leads to all sorts of security vulnerabilities.

As you say, the mysql_ functions are getting deprecated. I know you may be reluctant to move to PDO if you’ve been using the mysql_ functions for a long time, but there’s various reasons why PDO is better than the old mysql_ functions:

It protects against SQL injection vulnerabilities out of the box

It’s faster than the mysql_ functions

It also has the advantage of it supports database engines other than MySQL

PDO also separates your database query from parameters. Consider the following:

$sql = "INSERT INTO users (first_name, last_name, email) VALUES (:first_name, :last_name, :email)"; $smt->prepare($sql); $smt->bindParam(':first_name', $first_name); $smt->bindParam(':last_name', $last_name); $smt->bindParam(':email', $email); $smt->execute();

Or the less “bloated” syntax:

$sql = "INSERT INTO users (first_name, last_name, email) VALUES (:first_name, :last_name, :email)"; $smt->prepare($sql); $smt->execute(array( ':first_name' => $first_name, ':last_name' => $last_name, ':email' => $email ));

As you can see, the parameters are separated from the statement itself. It’s cleaner than interpolating variables into your statements, which look ugly and as I say, lead to injection vulnerabilities.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报
编辑

预览
轻敲空格完成输入
显示为

卡片

标题

链接
评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(1条)

编辑

预览

报告相同问题？

关注问题

为什么这个PDO Insert执行两次？ mysql php
2014-06-08 09:38

回答 2 已采纳 Setup a proper primary key on database. Either (firstname, lastname) or (firstname, lastname, pho
PHP PDO - 使用bindParam INSERT INTO不起作用 mysql php
2017-08-11 03:08

回答 3 已采纳 Answering Question 1: PHP PDO - INSERT INTO with bindParam does not work If you're inserting
为什么这个PHP PDO Mysql代码不起作用？ php
2018-04-27 20:31

回答 1 已采纳 Well looking at your error code the problem has to do with the 'LIKE' parameter, I see that you ar
PDO的增删改查
2019-01-14 13:31

$stmt = $pdo->prepare('INSERT INTO users (username, email) VALUES (:name, :email)'); $stmt->bindParam(':name', $username); $stmt->bindParam(':email', $email); $username = 'testuser'; $email = '...
为什么PDO_MySQL不返回整数？ mysql php
2013-04-21 00:49

回答 3 已采纳 Set PDO::ATTR_EMULATE_PREPARES to false, if you really need it with loosely-typed PHP If mysql_fe
为什么我的pdo变量始终未定义？ [重复] mysql php
2018-01-01 08:09

回答 1 已采纳 In your construct function, use the public variable $pdo_log $this->pdo_log = new PDO('mysql
为什么PDO查询不能在服务器上运行？ mysql php
2018-12-21 08:45

回答 1 已采纳 Well I don't know if this is a bug or not, but adding dbname=dbname12 to below line everything sta
PHP7.3的sql server PDO_DBLIB库
2022-07-15 00:47

- 预处理语句：`$stmt = $pdo->prepare('INSERT INTO mytable (name, value) VALUES (?, ?)');` - 绑定参数并执行：`$stmt->execute(array('John', 'Doe'));` 4. **注意事项** - PDO_DBLIB不支持所有的SQL ...
PDO INSERT INTO无效 php
2013-08-06 18:35

回答 1 已采纳 page_id is missing from the VALUES. You have 12 fields, but 11 placeholders and 11 bindValue. If
为什么这个准备插入到MySql中，PDO插入错误的值？ mysql php
2015-04-05 10:45

回答 1 已采纳 I believe the problem is the use of PDOStatement::bindParam(): this binds the value of the variabl
如何在PDO中编写此查询？ [关闭] mysql php
2015-09-30 08:08

回答 2 已采纳 You may speed this up by using the JOIN concept rather than all the sub queries like this. SELECT
PDO操作大数据对象
2020-11-26 10:02

码农老张Zy的博客 PDO操作大数据对象一般在数据库中，我们保存的都只是 int 、 varchar 类型的数据，一是因为现代的关系型数据库对于这些内容会有很多的优化，二是大部分的索引也无法施加在内容过多的...
用PDO存取图片等大数据对象
2017-12-09 15:32

u012600104的博客什么是大数据对象？php官方给的定义是“大约4kb 或以上”，也就是说如果存储到数据库表里面的数据若大于4kb以上则称为大数据对象例如图片，视频等。一般我们存储图片和视频等大数据是这样的：把图片或视频上传到...
PHP中PDO扩展库总结
2017-06-12 16:13

Json____的博客 2.PDO提供了一个数据库访问抽象层，无论你使用了什么样的数据库，都可以通过一致的函数执行查询和获取数据，大大简化了数据库的操作，并能够屏蔽不同数据库之间的差异使用pdo可以方便的进行跨数据库程序的开发，...
pdo 大数据储存和调用
2016-08-24 03:42

DeadEmperor的博客 //DSN (Data Source Name) 数据源名称（主机，库，具体的什么数据库类型） $dsn = "oci:dbname=localhost/sql"; //链接orecl 数据库 $dsn = "mysql:host=localhost;dbname=sql"; //链接mysql //创建数据库连接 ...
pdo中使用参数化查询sql
2013-07-29 07:20

Zoe_Wang_ing的博客在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数运行，因此就算参数中含有具破坏性的指令，也不会被数据库所运行。唯一的...
mysql+php+pdo批量添加大数据
2015-09-17 06:11

weixin_34051201的博客 1.使用insert into插入　ini_set('max_execution_time','0');//限制超时时间，因为第一种时间较长，索性设为0不限制　$pdo = new PDO("mysql:host=localhost;dbname=oradt_cloud1520","root","123456"); 　for($...
PHP之PDO预处理语句操作数据库
2017-12-09 10:06

u012600104的博客预处理语句更加常用定义在生成网页时，许多PHP脚本通常都会执行除参数之外，其他部分完全相同的查询语句，针对这种重复执行一个查询，每次迭代使用不同的参数情况，PDO提供了一种名为预处理语句(prepared stat
php 批量插入mysql_PHP批量插入百万数据，php mysql pdo插入百万数据
2021-01-28 04:54

赵伊辰的博客最近做项目遇到一个小问题，php批量插入大量数据，如果使用for循环来进行插入无疑是很sb的形为，拼接成一条Sql语句，将很好的解决问题一、使用pdo进行数据插入set_time_limit(0);$dbms='mysql';//数据库类型$host='...
【PHP 面向对象】面向对象(OOP)编程之PDO对象操作数据库知识点归纳总结（五）
2021-05-13 09:44

一纸荒凉 * Armani的博客 PDO对象PDO 是什么PDO 的特点开启 PDO扩展使用PDO连接数据库创建 PDO 对象使用PDO执行SQL语句1) exec() 方法2) query() 方法3) 预处理语句方式实战：完善登录注册功能 PDO 是什么 PDO 是 PHP Date Object（PHP 数据...
没有解决我的问题, 去提问

为什么PDO中的INSERT INTO过于复杂？ [关闭]

2条回答 默认 最新

2条回答默认最新