// 示例代码
$pdo = new PDO('mysql:host=localhost;dbname=test_db', 'username', 'password');
$stmt = $pdo->prepare('SELECT * FROM users WHERE age >:age');
// 绑定变量参数
$stmt->bindParam(':age', $age, PDO::PARAM_INT);
$age = 18;
$stmt->execute();
$results = $stmt->fetchAll();首先,需要创建一个PDO对象到数据库。在此基础上,可以使用PDO的准备语句(prepare statement)来创建一个查询,使用占位符(ph)表示变量的位置。对于每个占位符,需要调用bindParam()或bindValue()方法将其与变量关联起来。bindParam()方法将变量的值作为引用传递,而bindValue()方法将变量的值作为值传递。
在此之后,可以设置变量的值,然后调用execute()方法来执行查询。execute()方法会将绑定的参数作为输入,在查询中替换占位符,并执行查询。最后,可以使用fetchAll()方法获取查询结果。
使用MySQL查询绑定可以有效地减少SQL注入攻击,因为用户提供的数据不会直接被注入到查询中。同时,也可以重用带有占位符的查询语句,以提高查询性能。此外,这种技术还可以使代码更加模块化和易于维护。