Joomla3开发教程

使用预编译语句(Prepared Statements)

在 Joomla 4 中, Joomla 数据库查询转变为使用预编译语句,本文旨在阐明我们这样做的原因和方式。

为什么要使用预编译语句(Prepared Statements)?


简单的来说,预编译语句相比之前的字符串查询语句将会有两大优势:

  • 更加的高效
  • 更加的安全

预编译语句(Prepared Statements)是什么?


通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程:

  • 词法和语义解析
  • 优化sql语句,制定执行计划
  • 执行并返回结果

我们把这种普通语句称作Immediate Statements

但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。

所谓预编译语句就是将这类语句中的值用占位符替代,可以视为将sql语句模板化或者说参数化,一般称这类语句叫Prepared Statements或者Parameterized Statements 。

预编译语句的优势归纳为:一次编译、多次运行,省去了解析优化等过程;此外预编译语句能防止sql注入。

如何在Joomla中使用预编译语句(Prepared Statements)?


joomla在底层的JDatabaseDriver类中已经帮我们实现好了预编译语句这项功能,开发者只需要在写查询语句的时候调用即可。以下面的查询语句为例:

正常的SQL语句写法:

$query = $this->db->getQuery(true)
	->select($this->db->quoteName(array('id', 'password')))
	->from($this->db->quoteName('#__users'))
	->where($this->db->quoteName('username') . '=' . $this->db->quote($credentials['username']));

 转换为预编译语句的SQL语句写法:

$query = $this->db->getQuery(true)
	->select($this->db->quoteName(array('id', 'password')))
	->from($this->db->quoteName('#__users'))
	->where($this->db->quoteName('username') . ' = :username')
	->bind(':username', $credentials['username']);

通过在where中使用占位符,在bind中进行参数绑定就实现了预编译的功能。另外,请注意最后的bind方法,在这里我们不再使用$db的quote(加引号)的方法,因为数据库驱动将自动的帮我们加上。

Joomla中使用预编译语句的一些说明


 JDatabaseDriver 会对一些函数自动使用预编译语句,如 whereIn()和whereNotIn()方法将自动的使用。

典型的代码如下:

$query = $this->db->getQuery(true)
	->select($this->db->quoteName(array('id, password')))
	->from($this->db->quoteName('#__users'))
	->whereIn($this->db->quoteName('id'), [ 1, 2, 3 ]);

 这个查询将会转换为预编译语句的SQL如下:

SELECT 
  `id`, `password`
FROM
  `#__users`
WHERE
  `id` IN (
    :preparedArray1,
    :preparedArray2,
    :preparedArray3
  );

其中的占位符 :preparedArray1-3 将在执行时填充 1,2,3。

通过在where中使用占位符,在bind中进行参数绑定就实现了预编译的功能。另外,请注意最后的bind方法,在这里我们不再使用$db的quote(加引号)的方法,因为数据库驱动将自动的帮我们加上。

另外,以下函数接受数组以减少函数调用开销

  • bind()
  • bindArray()
  • whereIn()
  • whereNotIn()

另外在编程中使用预编译的一个好处是可以方便的使用循环,下面是一段实例代码:

$listOfUsernames = [ 'admin', 'user1' ];

$query = $this->db->getQuery(true)
	->select($this->db->quoteName(array('id', 'password')))
	->from($this->db->quoteName('#__users'))
	->where($this->db->quoteName('username') . ' = :username')
	->bind(':username', $username);

foreach($listOfUsernames as $name)
{
  $username = $name;
  $this->db->setQuery($query);
  $user = $this->db->loadObject();
  print_r($user);
}

在上面的循环中,给$username赋值,然后重新调用setQuery方法来获得数据,非常的方便。

同样,也可以使用数据组来完成参数的绑定,代码如下:

$query = $this->db->getQuery(true)
	->select($this->db->quoteName(array('id', 'password')))
	->from($this->db->quoteName('#__users'))
	->where($this->db->quoteName('username') . ' = :username')
	->where($this->db->quoteName('id') . ' = :id')
	->bind([':username', ':id'], [$credentials['username'], 42], [Joomla\Database\ParameterType::STRING, Joomla\Database\ParameterType::INTEGER]);

在上面的代码中添加 username 和 id 作为绑定参数,并为每个变量设置正确的 ParameterType。也可以对所有绑定值和 ParameterType 使用一个变量。 代码如下:

$query = $this->db->getQuery(true)
	->select($this->db->quoteName(array('id', 'password')))
	->from($this->db->quoteName('#__users'))
	->where($this->db->quoteName('username') . ' = :username')
	->where($this->db->quoteName('password') . ' = :password')
	->bind([':username', ':password], $credentials['username']);

 在上面参数 :username 和 :password 设置为相同的值和默认的参数类型。



作者:张敏
原文:http://www.joomlachina.cn/shouce/doc/1916?article_id=2048

获取最新资讯

© 广州市番禺区新造草云信息技术咨询服务部版权所有。
粤ICP备13002429号.

Joomla系列教程

站内链接