bind_param() 中的第一个参数究竟是做什么的？

Question

我正在尝试理解使用 PHP 和 mysqli 准备的语句。我试图阅读一些教程、手册和这个：Bind_Param in PHP，但我还没有找到任何令人满意的答案。

有人在回答中写道：

准备 SQL 语句时，可以插入占位符 (?) 列值将去哪里，然后使用 bind_param() 安全地 将该占位符替换为实际列的值。这可以防止 任何可能的 SQL 注入。

我在这样的教程中找到了一些代码：

$stmt = $con->prepare("INSERT INTO user_accounts VALUES (?,?,?,?)");

$stmt->bind_param('xyz', $sample1, $sample2, $sample3, $sample4);   // bind to the parameter

我知道我们写的是“？”而不是我们的变量，以便稍后可以给出实际值。 MySQL 为查询执行准备一个计划，然后将变量作为参数给出。

这行代码是什么意思？

bind_param('xyz', $sample1, $sample2, $sample3, $sample4);  

四个变量以“xyz”作为参数给出...参数“xyz”到底是什么意思？有没有必要写，以后还会用吗？我没有发现它在其他地方使用过。

我只想要第一个参数的答案：

Answer 1

第一个参数指定列数据的类型。例如，如果我们有四列，并且都是字符串类型，我们这样写：

$stmt->bind_param('ssss', $sample1, $sample2, $sample3, $sample4);

如果一列是整数类型，我们使用i而不是s。例如，如果第三列是整数，我们写：

$stmt->bind_param('ssis', $sample1, $sample2, $sample3, $sample4);

指定第一列和第二列是字符串（s），第三列是整数（i），第四列是字符串（s）。

bind_param()函数的第一个参数，s代表字符串类型，i代表整数，d代表double类型，b代表blob。

所以对于你的情况，sssd 表示第四列是双列，其余的是字符串

Answer 2

我想你理解绑定参数的概念，所以我不会深入。尽管如此，您可能需要查看this 以了解更多背景信息。

用于绑定参数的 mysqli API 可以说不是很优雅。它看起来像这样：

bool mysqli_stmt::bind_param ( string $types , mixed &$var1 [, mixed &$... ] )

这意味着该函数的第一个参数$types 向mysqli 提供了您的参数是什么类型/它应该将它们视为什么的信息。接下来是各个参数。

$types 参数是一串单独的字符，每个字符表示一个类型。有四种可能的类型：i、d、s 和 b，分别代表 integer、double、string 和二进制。因此，如果您想绑定两个整数和一个字符串，按此顺序，$type 参数需要为iis。然后按照实际值进行跟踪：

$int1 = 42;
$int2 = 11;
$str  = 'foo';

$stmt->bind_param('iis', $int1, $int2, $str);