PHP使用PDO、mysqli扩展实现与数据库交互操作详解
本文实例讲述了PHP使用PDO、mysqli扩展实现与数据库交互操作。分享给大家供大家参考,具体如下:
数据库
在我们开发php时,可能有人已经学习了php数据库的连接交互,也可能正准备学习。如今,按照php的发展趋势,mysql扩展已经停止开发,在以后的发展中可能被淘汰,如mysql->query(),mysql->connect()等以后可能就无法使用。所以我们要尽量使用PDO和mysqli扩展。
PDO
基本操作如下:
getMessge();
}
$statement=$pdo->query("SELECTsome_fieldFROMsome_table");
$row=$statement->fetch(PDO::FETCH_ASSOC);
echohtmlentities($row['some_field']);
//PDO+SQLite
$pdo=newPDO('sqlite:/path/db/foo.sqlite');
$statement=$pdo->query("SELECTsome_fieldFROMsome_table");
$row=$statement->fetch(PDO::FETCH_ASSOC);
echohtmlentities($row['some_field']);
//关闭连接
$pdo=null;
PDO并不会对SQL请求进行转换或者模拟实现并不存在的功能特性;它只是单纯地使用相同的API连接不同种类的数据库。
更重要的是,PDO使你能够安全的插入外部输入(例如ID)到你的SQL请求中而不必担心SQL注入的问题。这可以通过使用PDO语句和限定参数来实现。
我们来假设一个PHP脚本接收一个数字ID作为一个请求参数。这个ID应该被用来从数据库中取出一条用户记录。下面是一个错误的做法:
query("SELECTnameFROMusersWHEREid=".$_GET['id']);//<--NO!
这是一段糟糕的代码。你正在插入一个原始的请求参数到SQL请求中。这将让被黑客轻松地利用[SQL注入]方式进行攻击。想一下如果黑客将一个构造的id参数通过像http://domain.com/?id=1%3BDELETE+FROM+users这样的URL传入。这将会使$_GET[‘id']变量的值被设为1;DELETEFROMusers然后被执行从而删除所有的user记录!因此,你应该使用PDO限制参数来过滤ID输入。
prepare('SELECTnameFROMusersWHEREid=:id');
$id=filter_input(INPUT_GET,'id',FILTER_SANITIZE_NUMBER_INT);//<--首先过滤您的数据,对于INSERT,UPDATE等特别重要
$stmt->bindParam(':id',$id,PDO::PARAM_INT);//<--通过PDO自动对SQL进行清理
$stmt->execute();
这是正确的代码。它在一条PDO语句中使用了一个限制参数。这将对外部ID输入在发送给数据库之前进行转义来防止潜在的SQL注入攻击。
对于写入操作,例如INSERT或者UPDATE,进行数据过滤并对其他内容进行清理(去除HTML标签,Javascript等等)是尤其重要的。PDO只会为SQL进行清理,并不会为你的应用做任何处理。
mysqli扩展
mysqli基本操作如下:
connect_error){
die("连接失败:".$conn->connect_error);
}
echo"连接成功";
?>
注意在以上面向对象的实例中$connect_error是在PHP5.2.9和5.3.0中添加的。如果你需要兼容更早版本请使用以下代码替换:
//检测连接
if(mysqli_connect_error()){
die("数据库连接失败:".mysqli_connect_error());
}
数据库交互
-
query('SELECT*FROMtable')as$row){
echo"
- ".$row['field1']."-".$row['field1']." "; } ?>
这从很多方面来看都是错误的做法,主要是由于它不易阅读又难以测试和调试。而且如果你不加以限制的话,它会输出非常多的字段。
其实还有许多不同的解决方案来完成这项工作—取决于你倾向于面向对象编程(OOP)还是函数式编程—但必须有一些分离的元素。
来看一下最基本的做法:
query('SELECT*FROMtable');
}
foreach(getAllFoos($db)as$row){
echo"这是一个不错的开头。将这两个元素放入了两个不同的文件于是你得到了一些干净的分离。
创建一个类来放置上面的函数,你就得到了一个「Model」。创建一个简单的.php文件来存放表示逻辑,你就得到了一个「View」。这已经很接近MVC—一个大多数框架常用的面向对象的架构。
//foo.php
getAllFoos(); //显示视图 include'views/foo-list.php';
//models/FooModel.php
db=$db;
}
publicfunctiongetAllFoos(){
return$this->db->query('SELECT*FROMtable');
}
}
//views/foo-list.php
-
许多框架都提供了自己的数据库抽象层,其中一些是设计在PDO的上层的。这些抽象层通常将你的请求在PHP方法中包装起来,通过模拟的方式来使你的数据库拥有一些之前不支持的功能。这种抽象是真正的数据库抽象,而不单单只是PDO提供的数据库连接抽象。这类抽象的确会增加一定程度的性能开销,但如果你正在设计的应用程序需要同时使用MySQL,PostgreSQL和SQLite时,一点点的额外性能开销对于代码整洁度的提高来说还是很值得的。
更多关于PHP相关内容感兴趣的读者可查看本站专题:《PHP基于pdo操作数据库技巧总结》、《php+mysqli数据库程序设计技巧总结》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》
希望本文所述对大家PHP程序设计有所帮助。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。