化查询C操作MySQL数据库之参数化查询（cmysql参数）

MySQL数据库的查询有多种，参数化查询就是其中重要的一种，可以实现动态地查询数据表内容。C语言操作参数化查询，主要涉及MYSQL的API函数。

具体的做法就是将查询语句的参数与C程序代码分离，并以参数形式传递过去，参数在C程序运行前先赋值，屏蔽掉查询参数，避免程序因为SQL注入攻击而受到影响，这样就能提高C程序的安全性。

下面介绍如何使用C语言来实现MySQL数据库的参数化查询。

先编写C程序连接mysql数据库，然后就可以实现参数化查询了。

首先，使用 mysql_real_query() 函数准备参数：

//准备参数
char **params;
int params_num = 10;
params = (char **)malloc(params_num * sizeof(char*);
for(int i = 0; i 
    params[i] = (char *)malloc(51 * sizeof(char));
    memset(params[i], 0 , 50);
}

其次，在查询语句参数处使用如下占位符，以便匹配以上声明的参数数组：

“`

char *sql_str = “SELECT id,name,age FROM users WHERE name=? AND age=?”;

最后，将参数变量值传入mysql_stmt_execute函数中绑定参数，使用参数查询：

//以参数形式传入查询

MYSQL_STMT *stmt = mysql_stmt_init(mysql);

mysql_stmt_prepare(stmt,sql_str,strlen(sql_str));

mysql_stmt_bind_param(stmt, params);

mysql_stmt_execute(stmt);

上述步骤完成后，就已经实现了用C语言参数化查询MySQL的操作，使用参数化查询的C程序能够在数据库查询时有效的提高安全性，有效的抵御SQL注入攻击。