Was ist das Fragezeichen Bedeutung in MySQL bei "WHERE Spalte = ?"?

Ich bin sezieren code und stieß auf dieses,

$sql = 'SELECT page.*, author.name AS author, updator.name AS updator '
     . 'FROM '.TABLE_PREFIX.'page AS page '
     . 'LEFT JOIN '.TABLE_PREFIX.'user AS author ON author.id = page.created_by_id '
     . 'LEFT JOIN '.TABLE_PREFIX.'user AS updator ON updator.id = page.updated_by_id '
     . 'WHERE slug = ? AND parent_id = ? AND (status_id='.Page::STATUS_REVIEWED.' OR status_id='.Page::STATUS_PUBLISHED.' OR status_id='.Page::STATUS_HIDDEN.')';

Frage ich mich, was das "?" in der WHERE-Anweisung. Ist es eine Art von parameter-Halter?

InformationsquelleAutor Levi | 2009-03-23

  1. 36

    Prepared-Statements verwenden die '?' in MySQL zu erlauben, für die Bindung params auf die Erklärung. Hoch angesehen als sicherer gegen SQL-Injektionen, wenn Sie ordnungsgemäß verwendet. Dies ermöglicht auch eine schnellere SQL-Abfragen als die Anfrage muss nur einmal übersetzt werden und kann wiederverwendet werden.

    Wie würde man Sie nutzen? Ich meine wie wollen Sie das Fragezeichen zu nehmen auf einen parameter?
    Es gibt mehrere Möglichkeiten prepared statements, PDO und MySQLi unterstützen. us3.php.net/mysqli us3.php.net/manual/en/mysqli.prepare.php und eine schnelle google-Suche brachte mich zu den petefreitag.com/item/356.cfm

    InformationsquelleAutor Jayrox

  2. 27

    Dem Fragezeichen einen parameter darstellt, wird später ersetzt werden. Mit parametrisierten Abfragen ist sicherer als die Einbettung der Parameter direkt in der Abfrage.

    SQL Server ruft das parametrisieren von Abfragen und Oracle nennt Sie bind-Variablen.

    Die Auslastung variiert mit der Sprache, dass Sie die Ausführung der Abfrage aus.

    Hier ist ein Beispiel wie es verwendet wird von PHP.

    unter der Annahme, dass $mysqli ist eine Datenbank-Verbindung und people ist eine Tabelle mit 4 Spalten.

    $stmt = $mysqli->prepare("INSERT INTO People VALUES (?, ?, ?, ?)");

$stmt->bind_param('sssd', $firstName, $lastName, $email, $age);

    Den 'sssd' ist ein flag, das die Ermittlung der restlichen Parameter, wo s stellt string-und die d dar stellen.

    InformationsquelleAutor Steve Stedman

  3. 7

    ? hat keine Besondere Bedeutung in MySQL WHERE = Aussagen

    Er hat nur eine Besondere Bedeutung für mehrere externe Schnittstellen wie PHP stdlib und web-frameworks wie Rails.

    ? ist nur ein syntax Fehler in:

    CREATE TABLE t (s CHAR(1));
SELECT * FROM t WHERE s = ?;

    weil es ohne Anführungszeichen, und in:

    INSERT INTO t VALUES ('a');
INSERT INTO t VALUES ("?");
SELECT * FROM t WHERE s = '?';

    gibt es:

    s
?

    damit scheinbar ohne Besondere Bedeutung.

    Schienen Beispiel

    In Rails-zum Beispiel das Fragezeichen wird ersetzt durch ein argument gegeben durch eine variable, von der Bibliothek Programmiersprache (Ruby), z.B.:

    Table.where("column = ?", "value")

    und es werden automatisch Anführungszeichen Argumente zu vermeiden, Fehler und SQL-injection, wodurch eine Aussage wie:

    SELECT * FROM Table WHERE column = 'value';

    Das zitieren sparen würde, bei so etwas wie:

    Table.where("column = ?", "; INJECTION")

    MySQL 5.0 prepared statements

    MySQL 5.0 Hinzugefügt, die vorbereitete Anweisung Funktion die ähnliche Semantik, um die Fragezeichen in web-frameworks.

    Beispiel aus den docs:

    PREPARE stmt1 FROM 'SELECT SQRT(POW(?,2) + POW(?,2)) AS hypotenuse';
SET @a = 3;
SET @b = 4;
EXECUTE stmt1 USING @a, @b;

    Ausgabe:

    hypotenuse
5

    Diese auch spezielle escape-Zeichen wie erwartet:

    PREPARE stmt1 FROM 'SELECT ? AS s';
SET @a = "'";
EXECUTE stmt1 USING @a;

    Ausgabe:

    s
'

    InformationsquelleAutor Ciro Santilli 新疆改造中心996ICU六四事件

  4. 1

    Diese sind prepared statements prepared statements bieten zwei wichtige Vorteile:

    Die Abfrage muss nur analysiert werden (oder vorbereitet) einmal, kann aber sein
    ausgeführt mehrere Male mit denselben oder anderen Parametern. Wenn
    die Abfrage vorbereitet wird, wird die Datenbank analysieren, kompilieren und optimieren
    seinen plan für die Ausführung der Abfrage. Für komplexe Abfragen kann dieser Vorgang
    nehmen Sie sich genug Zeit, es wird sich merklich verlangsamen eine Anwendung
    wenn es notwendig ist, wiederholen Sie dieselbe Abfrage oft mit verschiedenen
    Parameter. Durch die Verwendung eines prepared statement vermeidet die Anwendung
    Wiederholung der Analyse/Kompilierung/Optimierung-Zyklus. Dies bedeutet, dass vorbereitete
    statements weniger Ressourcen und laufen deswegen schneller.

    Die Parameter für prepared statements müssen nicht zitiert zu werden; die
    Treiber werden automatisch verarbeitet. Wenn eine Anwendung exklusiv verwendet
    Anweisungen vorbereitet, die Entwickler können sicher sein, dass keine SQL-injection
    auftreten wird (wenn jedoch andere Teile der Abfrage werden aufgebaut
    mit unescaped input, SQL-injection noch möglich ist).

    http://php.net/manual/en/pdo.prepared-statements.php

    InformationsquelleAutor Raheel

Schreibe einen Kommentar