MySQL 使用 Perl 绑定参数和列|极客教程

SQL 语句通常是动态构建的，用户提供一些输入，并将其内置到语句中。程序员每次处理用户的输入时都必须谨慎。它具有一些严重的安全隐患。动态构建 SQL 语句的推荐方法是使用参数绑定。

绑定参数可以防止 SQL 注入程序。它会自动转义一些特殊字符并允许正确处理它们。当我们准备语句并绑定参数时，许多数据库也会显着提高其性能。

#!/usr/bin/perl

use strict;
use DBI;

my dbh = DBI->connect(             "dbi:mysql:dbname=mydb",    "user12",                             "34klq*",                             { RaiseError => 1 },         
) or dieDBI::errstr;

my name = "Volkswagen"; 

mysth = dbh->prepare("SELECT * FROM Cars WHERE Name = ?");sth->execute(name);

my (id, name,price) = sth->fetchrow();
print "id nameprice\n";

sth->finish();dbh->disconnect();

该示例从Cars表中为特定的汽车名称选择一行。

my $name = "Volkswagen";

这是一个可能来自用户的值。例如从 HTML 表单。

my sth =dbh->prepare("SELECT * FROM Cars WHERE Name = ?");

问号?是值的占位符。它将稍后添加到脚本中。

$sth->execute($name);

在execute()方法中，我们将值绑定到占位符。

以下示例与上一个示例相同；这次我们使用bind_param()方法。

#!/usr/bin/perl

use strict;
use DBI;

my dbh = DBI->connect(             "dbi:mysql:dbname=mydb",    "user12",                             "34klq*",                             { RaiseError => 1 },         
) or dieDBI::errstr;

my name = "Volkswagen"; 

mysth = dbh->prepare("SELECT * FROM Cars WHERE Name = ?");sth->bind_param(1, name);sth->execute();

my (id,name, price) =sth->fetchrow();
print "idname price\n";sth->finish();
$dbh->disconnect();

使用bind_param()方法检索带有参数绑定的行。

$sth->bind_param(1, $name);

bind_param()方法采用一个值，并将其与 SQL 语句内的占位符关联。可以有更多的占位符。占位符从 1 开始编号。

`quote`参数

使用占位符并将参数绑定到它们是处理动态 SQL 语句构建的最佳方法。有时不能使用占位符。例如，当我们要动态选择一个表名时。在这种情况下，我们可以连接 SQL 字符串并使用quote()和quote_identifier()方法。我们必须对变量使用这些方法，否则会引入严重的安全性错误。

quote()方法引用字符串文字，以用作 SQL 语句中的字面值。它转义包含在字符串中的任何特殊字符（例如引号），并添加所需类型的外部引号。 quote_identifier()方法引用在 SQL 语句中使用的标识符（表名等）。它转义包含的任何特殊字符（例如双引号），并添加所需类型的外部引号。

#!/usr/bin/perl

use strict;
use DBI;

my dbh = DBI->connect(             "dbi:mysql:dbname=mydb",    "user12",                             "34klq*",                             { RaiseError => 1 },         
) or dieDBI::errstr;

my table = "Cars";
myname = "Volkswagen";

my sql = sprintf "SELECT * FROM %s WHERE Name = %s",dbh->quote_identifier(table),dbh->quote(name);

mysth = dbh->prepare(sql);
sth->execute();

my @row;
while (@row =sth->fetchrow_array()) {
    print "@row\n";
}

sth->finish();dbh->disconnect();

在该示例中，我们使用quote()和quote_identifier()方法动态构建 SQL 语句字符串。

my table = "Cars";
myname = "Volkswagen";

这些是在 SQL 语句中使用的 Perl 标量。

my sql = sprintf "SELECT * FROM %s WHERE Name = %s",dbh->quote_identifier(table),dbh->quote($name);

我们有一个更复杂的 SQL 语句。无法使用占位符构建此语句。我们使用 quote 方法来引用提供的标量。

绑定列

使用获取方法时，我们将返回的值复制到 Perl 变量中。通过绑定列可以简化此过程并使其更快。 Perl DBI 具有bind_col()和bind_columns()方法，它们将 Perl 变量与表列相关联。

#!/usr/bin/perl

use strict;
use DBI;

my dbh = DBI->connect(             "dbi:mysql:dbname=mydb",    "user12",                             "34klq*",                             { RaiseError => 1 },         
) or dieDBI::errstr;

my sth =dbh->prepare( "SELECT * FROM Cars LIMIT 4" );  
sth->execute();sth->bind_columns(\my(id,name, price));

while (sth->fetchrow_arrayref()) {
    print "idname price\n";
}sth->finish();
$dbh->disconnect();

在示例中，我们将Cars表的三列绑定到$id，$name和$price变量。

$sth->bind_columns(\my($id, $name, $price));

我们使用bind_columns()方法将变量绑定到Cars表的列。

while (sth->fetchrow_arrayref()) {
    print "id nameprice\n";
}

我们遍历返回的数据并将值打印到控制台。

MySQL 使用 Perl 绑定参数和列

`quote`参数

绑定列

Python教程

Java教程

Web教程

数据库教程

图形图像教程

大数据教程

开发工具教程

计算机教程

MySQL Perl 教程

回顶部

quote参数

绑定列

Python教程

Java教程

Web教程

数据库教程

图形图像教程

大数据教程

开发工具教程

计算机教程

MySQL Perl 教程

回顶部

切换注册登录

用户名或邮箱

密码

切换登录注册

昵称

邮箱

`quote`参数