PHP & MySQL：在不使用 MySQLi 和/或 PDO 的情况下创建自己的 Prepared 语句

Question

就像我的标题一样，我想知道如何在不使用 MySQLi 或 PDO 的情况下创建准备好的语句。重点是学习创造的过程和它的安全性。我在这方面几乎有“零知识”。尝试用谷歌搜索该主题，但似乎我的谷歌搜索技能让我失望了。我从某些网站上盲目地了解到准备好的声明非常安全，但我看不到它安全的实际意义。你们中的一些人可以澄清为什么会这样吗？那将是一个很大的帮助。我有自己的假设，即创建准备好的语句只是创建一个接收字符串并用 str_replace 替换所有特殊字符的函数，例如：

$org_sql = 'SELECT * FROM `my_table` WHERE `table_id`=?';
$prepared_sql = replaceQueryString($org_sql, 10);

function replaceQueryString($str, $replace) {
    // Do the replace where ? will be replaced by $replace here.
    return $str;
}

但我想知道这是否会提高安全级别，这对我来说看起来很简单。

如果您不想浪费时间回答这个问题，只需向我指出可用资源的位置。所以总结一下。

1. 如何创建 MySQL 预处理语句？
2. 为什么它是安全的？

非常感谢。

Answer 1

准备好的语句由数据库而不是您的代码创建和执行。要自己实现它们，您必须实现 MySQL 协议并直接与数据库通信。

准备好的语句的工作原理如下：

• 您将带有占位符的查询发送到 RDBMS
• RDBMS 存储查询并预先计算执行计划
• 您单独告诉数据库执行语句，并传递值以绑定到其参数
• RDBMS 使用值执行其存储的计划

Answer 2

有两种类型的预准备语句，模拟预准备语句和本机预准备语句。您正在做的是模拟准备好的语句。

---

1.如何创建MySQL预处理语句？

在 php 级别中，您只能通过将占位符替换为安全值来模拟准备好的语句。 （例如：引用字符串，转义特殊字符，等等......）

2.为什么它是安全的？

因为prepared statements阻止了sql注入。

---

PS： PDO 有PDO::ATTR_EMULATE_PREPARES 选项，可以启用或禁用准备好的语句的模拟。