对于MySQL数据库预处理技术的小技巧

　　我们先来看传统的操作数据库的方法。

　　传统的操作数据库方法有两种：

先写一条sql语句，然后通过mysqli->query($sql)去操作数据库（笔者此处使用的是mysqli扩展库）。这样操作并不会有什么大的错误，但是当你要插入上千条上万条数据呢？难道也还是要这样写一　条sql语句然后再操作一下数据库？那有人会说，好办嘛，用mysqli自带的操作多条sql语句的方法，即第二种方法。
mysqli->multi_query($sql)，这是操作多条sql语句的方法，如下：

　　如果你认为这样就可以完全解决问题，那么你就错了，接下来让我们来看一看MySQL数据库执行sql语句的原理吧！

　　　　　从上图可以看出，无论我们是发送一条sql语句还是发送多条sql语句，数据库都要对其一一的进行编译，那么当数据达到一定量之后，数据库的开销就必然很大。那究竟怎样解决这个问题呢？此时就引入了预处理技术的概念。

　　　下面我们来看一段预处理技术的代码：　　　　

 <?         =  mysqli("localhost", "root", "123456", "student"  (->     ("连接失败" . ->  ->query("set names utf8"  = "insert into student_info(name,age,sex,studentNo,grade) values (?,?,?,?,?)"   = ->prepare(   = "张三"  = 30  = 0;  = "1501222"  = 89 
 ->bind_param("siisd", , , , ,   ->  ->close();

　　首先我们来看

　　
　　等等，为什么values会是问号呢？这里的问号相当于一个占位符，之后只要向数据库发送数据就能够自动把数据对应的填充进去

　　这就是预编译技术的精髓之处，我们通过bind_param，顾名思义，就是绑定参数的意思，那么，它给谁绑定参数呢？看看上面的values (?,?,?,?,?)，bind_param里面的参数一一对应

着values的每一个参数。那么bind_param里面的siisd又是什么意思呢？别急，请看下方：

　　参数有以下四种类型: 
　　i - integer（整型） 
　　d - double（双精度浮点型） 
　　s - string（字符串） 
　　b - BLOB（布尔值） 
　　每个参数都需要指定类型。 
　　通过告诉数据库参数的数据类型，可以降低 SQL 注入的风险.

　　$mysqli_stmt->execute();这句代码就是将数据传递给数据库了。

　　使用预处理数据查询数据库

 　代码如下：

<?php/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2017/7/21
 * Time: 9:37 */$mysqli = new mysqli("localhost","root","123456","student");
 if($mysqli->connect_error){    
 die("连接失败".$mysqli->error);
}
$mysqli->query("set names utf8");
$sql="select name,sex,age from student_info where id>?";
$mysqli_stmt=$mysqli->prepare($sql);
$id=1;$mysqli_stmt->bind_param("i",$id);
$mysqli_stmt->execute();//绑定结果集，传递的是引用$mysqli_stmt->bind_result($name,$sex,$age);
while($mysqli_stmt->fetch()){    
    echo "$name--$sex--$age"."<br>";
}//关闭资源$mysqli_stmt->free_result();//关闭预编译语句，否则数据库会一直保存$mysqli_stmt->close();//关闭连接$mysqli->close();

可以看出，查询与插入相比多了这样一句代码，那么这句代码是什么意思呢？