MySQL PDO使用准备语句进行INSERT INTO插入数据

在MySQL数据库中使用PDO（PHP数据对象）的准备语句进行INSERT INTO插入数据是一个比较常见的操作。这个过程可以避免SQL注入攻击，并提高了性能。接下来我们将介绍一些关键的点。

阅读更多：MySQL 教程

数据库连接

首先，我们需要建立与MySQL数据库的连接。这可以通过PDO中的以下代码实现：

$dsn = 'mysql:host=localhost;dbname=myDatabase;charset=utf8mb4';
$username = 'myUsername';
$password = 'myPassword';

try {
    $pdo = new PDO($dsn, $username, $password);
    // 设置错误处理模式为异常
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
    echo 'Connection failed: ' . $e->getMessage();
}

以上代码将创建一个PDO实例并建立与MySQL服务器上指定数据库的连接。如果没有成功建立连接，则会抛出一个PDOException。

准备语句

一旦我们建立了连接，就可以利用PDO的准备语句来插入数据了。首先，我们需要写一个SQL语句，以“?”字符代替我们要插入的实际数据。比如：

$sql = "INSERT INTO myTable (column1, column2, column3) VALUES (?, ?, ?)";

这里有3个占位符“?”，代表着我们将在执行命令时用实际值进行替换。列名也需要替换为实际正确的列名。

接下来，我们需要预处理SQL语句：

$stmt = $pdo->prepare($sql);

由此得到一个PDO语句对象，这个对象中包含了我们预处理的SQL语句。

绑定参数

一旦我们准备就绪，就可以在语句中绑定参数了。这可以通过PDO语句对象的bindValue()或bindParam()方法来完成。与”?”字符对应的第一个参数的索引是1，第二个是2，以此类推。

$stmt->bindValue(1, $value1);
$stmt->bindValue(2, $value2);
$stmt->bindValue(3, $value3);

绑定的参数可以是实际的值，也可以是变量、表达式或函数。bindParam()方法需要将参数传递为引用。

执行语句

最后，我们需要执行SQL语句，这可以通过PDO语句对象的execute()方法来完成。

$stmt->execute();

如果准备语句所需的每个参数都已成功绑定，则execute()方法将执行INSERT INTO语句。否则，它将抛出PDOException异常。

总结

通过以上步骤，我们就完成了使用PDO嵌入语句向MySQL数据库中插入数据的操作。这不仅可以提高性能，还可以保护我们的应用程序免受SQL注入攻击。记住要使用PDO语句对象的bindParam()和bindValue()方法来绑定参数，并调用execute()方法来执行语句。