隨着web應用的不斷發展,php語言也越來越廣泛地應用在web開發中。在php中,mysqli_query函數是十分常用的一個函數,它主要用於執行SQL語句。那麼在使用mysqli_query函數時,我們需要注意哪些問題呢?這就是本文所要詳細闡述的問題。
一、mysqli_query函數的參數
mysqli_query函數的語法格式如下:
mysqli_query(connection,query,resultmode);
其中,它有三個參數:
connection:必須,表示MySQL連接句柄,在使用mysqli_connect()或mysqli_init()函數後返回的對象。
query:必須,表示要執行的SQL語句,可以包含插入、更新、刪除、查詢等操作。
resultmode:可選,在默認情況下返回結果集作為關聯數組(MYSQLI_ASSOC)、數字數組(MYSQLI_NUM)或同時使用兩者(MYSQLI_BOTH)。如果只想返回行的統計數或受影響行的數量 ,則傳遞MYSQLI_USE_RESULT或MYSQLI_STORE_RESULT。
二、mysqli_query函數的返回值
mysqli_query函數執行查詢成功返回mysqli_result對象,執行插入操作、刪除操作和更新操作成功返回true,執行失敗返回false,同時mysqli_query還可以用mysqli_affected_rows和mysqli_insert_id函數來獲取影響的行數和插入的自增長id。
1. 返回mysqli_result對象
$conn = mysqli_connect("localhost", "user", "password", "example");
$result = mysqli_query($conn,"SELECT * FROM user where sex=1");
返回的$result就是mysqli_result對象。
2. 返回true
$conn = mysqli_connect("localhost", "user", "password", "example");
$sql = "INSERT INTO user (name,age,sex)VALUES('tony',25,1)";
$result=mysqli_query($conn,$sql);
if($result){
echo "插入成功!";
}else{
echo "插入失敗!";
}
執行成功則返回true,失敗則返回false。
3. 返回false
$conn = mysqli_connect("localhost", "user", "password", "example");
$sql = "INSERT INTO user (name,age,sex,created_at)VALUES('tony',25,1)";
$result=mysqli_query($conn,$sql);
if($result){
echo "插入成功!";
}else{
echo "插入失敗!";
}
當執行的SQL語句有問題時,如INSERT INTO user (name,age,sex,created_at)VALUES(‘tony’,25,1),缺少了created_at字段,這時返回false。
三、mysqli_query函數的安全性
當我們使用mysqli_query函數時,需要考慮到安全性問題。為了防止SQL注入,我們需要對輸入的參數進行過濾和檢查。
1. 對輸入參數進行過濾
$name = mysqli_real_escape_string($conn,$_POST['name']);
$age = intval($_POST['age']);
$sex = intval($_POST['sex']);
$sql = "INSERT INTO user (name,age,sex)VALUES('$name','$age','$sex')";
$result=mysqli_query($conn,$sql);
在上面的示例中,我們使用mysqli_real_escape_string()函數對$name進行了過濾,避免了SQL注入的風險。
2. 對輸入數據進行檢查
$age = intval($_POST['age']);
$sex = intval($_POST['sex']);
if($age 120){
echo "年齡不合法!";
exit;
}
if($sex != 0 && $sex != 1){
echo "性別不合法!";
exit;
}
$name = mysqli_real_escape_string($conn,$_POST['name']);
$sql = "INSERT INTO user (name,age,sex)VALUES('$name','$age','$sex')";
$result=mysqli_query($conn,$sql);
在上面的示例中,我們使用intval函數將$age和$sex轉成了整型,並進行了合法性檢查,避免了非法輸入。這樣即使有人想通過特殊字符攻擊也不行了。
四、mysqli_query函數的使用注意事項
1. mysqli_query函數不支持批量查詢
如果需要批量執行SQL語句,可以使用mysqli_multi_query函數來實現,同時需要注意處理每一個查詢的結果。
2. mysqli_query函數需要與mysqli_fetch_系列函數一起使用
mysqli_query函數執行後,需要使用mysqli_fetch_系列函數來獲取查詢的結果,一般情況下使用mysqli_fetch_array或mysqli_fetch_assoc函數即可。
總結
本文從mysqli_query函數的參數、返回值、安全性和注意事項四個方面進行了詳細的闡述。在使用mysqli_query函數時,我們需要對參數進行合法性校驗和注入攻擊過濾,同時需要注意mysqli_query函數的使用場景。只有掌握了mysqli_query函數的使用規則,我們才能更好地應對web開發中的各種數據庫操作。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/304580.html
微信掃一掃 
支付寶掃一掃 