本文實例講述了PHP使用PDO�、mysqli擴展實現(xiàn)與數(shù)據(jù)庫交互操作����。分享給大家供大家參考����,具體如下:
數(shù)據(jù)庫
在我們開發(fā)php時,可能有人已經(jīng)學習了php數(shù)據(jù)庫的連接交互����,也可能正準備學習�。如今�����,按照php的發(fā)展趨勢,mysql擴展已經(jīng)停止開發(fā)���,在以后的發(fā)展中可能被淘汰����,如mysql->query(),mysql->connect()等以后可能就無法使用���。所以我們要盡量使用PDO和mysqli擴展����。
PDO
基本操作如下:
?php
// PDO + MySQL
$servername = "localhost";
$username = "username";
$password = "password";
try{
$pdo = new PDO('mysql:host=$servername;dbname=myDB', '$username',
'$password');
echo '連接成功'��;
}
catch(PDOExcepton $e){
echo $e->getMessge();
}
$statement = $pdo->query("SELECT some_field FROM some_table");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['some_field']);
// PDO + SQLite
$pdo = new PDO('sqlite:/path/db/foo.sqlite');
$statement = $pdo->query("SELECT some_field FROM some_table");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['some_field']);
//關閉連接
$pdo=null;
PDO 并不會對 SQL 請求進行轉換或者模擬實現(xiàn)并不存在的功能特性��;它只是單純地使用相同的 API 連接不同種類的數(shù)據(jù)庫���。
更重要的是���,PDO 使你能夠安全的插入外部輸入(例如 ID)到你的 SQL 請求中而不必擔心 SQL 注入的問題��。這可以通過使用 PDO 語句和限定參數(shù)來實現(xiàn)。
我們來假設一個 PHP 腳本接收一個數(shù)字 ID 作為一個請求參數(shù)�����。這個 ID 應該被用來從數(shù)據(jù)庫中取出一條用戶記錄���。下面是一個錯誤的做法:
?php
$pdo = new PDO('sqlite:/path/db/users.db');
$pdo->query("SELECT name FROM users WHERE id = " . $_GET['id']); // -- NO!
這是一段糟糕的代碼����。你正在插入一個原始的請求參數(shù)到 SQL 請求中。這將讓被黑客輕松地利用[SQL 注入]方式進行攻擊��。想一下如果黑客將一個構造的 id 參數(shù)通過像 http://domain.com/?id=1%3BDELETE+FROM+users 這樣的 URL 傳入��。這將會使 $_GET[‘id'] 變量的值被設為 1;DELETE FROM users 然后被執(zhí)行從而刪除所有的 user 記錄��!因此�,你應該使用 PDO 限制參數(shù)來過濾 ID 輸入�����。
?php
$pdo = new PDO('sqlite:/path/db/users.db');
$stmt = $pdo->prepare('SELECT name FROM users WHERE id = :id');
$id = filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT); // -- 首先過濾您的數(shù)據(jù) ,對于INSERT�����,UPDATE等特別重要
$stmt->bindParam(':id', $id, PDO::PARAM_INT); // -- 通過PDO自動對SQL進行清理
$stmt->execute();
這是正確的代碼��。它在一條 PDO 語句中使用了一個限制參數(shù)��。這將對外部 ID 輸入在發(fā)送給數(shù)據(jù)庫之前進行轉義來防止?jié)撛诘?SQL 注入攻擊��。
對于寫入操作,例如 INSERT 或者 UPDATE����,進行數(shù)據(jù)過濾并對其他內容進行清理(去除 HTML 標簽���,Javascript 等等)是尤其重要的���。PDO 只會為 SQL 進行清理�����,并不會為你的應用做任何處理��。
mysqli擴展
mysqli基本操作如下:
?php
$servername = "localhost";
$username = "username";
$password = "password";
// 創(chuàng)建連接
$conn = new mysqli($servername, $username, $password);
// 檢測連接
if ($conn->connect_error) {
die("連接失敗: " . $conn->connect_error);
}
echo "連接成功";
?>
注意在以上面向對象的實例中 $connect_error 是在 PHP 5.2.9 和 5.3.0 中添加的���。如果你需要兼容更早版本 請使用以下代碼替換:
// 檢測連接
if (mysqli_connect_error()) {
die("數(shù)據(jù)庫連接失敗: " . mysqli_connect_error());
}
數(shù)據(jù)庫交互
ul>
?php
foreach ($db->query('SELECT * FROM table') as $row) {
echo "li>".$row['field1']." - ".$row['field1']."/li>";
}
?>
/ul>
這從很多方面來看都是錯誤的做法��,主要是由于它不易閱讀又難以測試和調試。而且如果你不加以限制的話��,它會輸出非常多的字段����。
其實還有許多不同的解決方案來完成這項工作 — 取決于你傾向于 面向對象編程(OOP)還是函數(shù)式編程 — 但必須有一些分離的元素�。
來看一下最基本的做法:
?php
function getAllFoos($db) {
return $db->query('SELECT * FROM table');
}
foreach (getAllFoos($db) as $row) {
echo "li>".$row['field1']." - ".$row['field1']."/li>";
}
這是一個不錯的開頭�。將這兩個元素放入了兩個不同的文件于是你得到了一些干凈的分離����。
創(chuàng)建一個類來放置上面的函數(shù),你就得到了一個「Model」�。創(chuàng)建一個簡單的.php文件來存放表示邏輯�����,你就得到了一個「View」���。這已經(jīng)很接近 MVC — 一個大多數(shù)框架常用的面向對象的架構���。
//foo.php
?php
$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');
// 使模板可見
include 'models/FooModel.php';
// 實例化類
$fooModel = new FooModel($db);
// Get the list of Foos
$fooList = $fooModel->getAllFoos();
// 顯示視圖
include 'views/foo-list.php';
//models/FooModel.php
?php
class FooModel
{
protected $db;
public function __construct(PDO $db)
{
$this->db = $db;
}
public function getAllFoos() {
return $this->db->query('SELECT * FROM table');
}
}
//views/foo-list.php
?php foreach ($fooList as $row): ?>
?= $row['field1'] ?> - ?= $row['field1'] ?>
?php endforeach ?>
許多框架都提供了自己的數(shù)據(jù)庫抽象層�,其中一些是設計在 PDO 的上層的����。這些抽象層通常將你的請求在 PHP 方法中包裝起來��,通過模擬的方式來使你的數(shù)據(jù)庫擁有一些之前不支持的功能。這種抽象是真正的數(shù)據(jù)庫抽象����,而不單單只是 PDO 提供的數(shù)據(jù)庫連接抽象。這類抽象的確會增加一定程度的性能開銷�����,但如果你正在設計的應用程序需要同時使用 MySQL���,PostgreSQL 和 SQLite 時��,一點點的額外性能開銷對于代碼整潔度的提高來說還是很值得的����。
更多關于PHP相關內容感興趣的讀者可查看本站專題:《PHP基于pdo操作數(shù)據(jù)庫技巧總結》�����、《php+mysqli數(shù)據(jù)庫程序設計技巧總結》����、《php面向對象程序設計入門教程》、《php字符串(string)用法總結》、《php+mysql數(shù)據(jù)庫操作入門教程》及《php常見數(shù)據(jù)庫操作技巧匯總》
希望本文所述對大家PHP程序設計有所幫助。
您可能感興趣的文章:- PHP如何初始化PDO及原始SQL語句操作
- PHP中PDO關閉連接的方法問題
- PHP使用PDO 連接與連接管理操作實例分析
- php+pdo實現(xiàn)的購物車類完整示例
- PHP使用PDO實現(xiàn)mysql防注入功能詳解
- PHP PDO和消息隊列的個人理解與應用實例分析
- php pdo連接數(shù)據(jù)庫操作示例
- PHP使用PDO創(chuàng)建MySQL數(shù)據(jù)庫��、表及插入多條數(shù)據(jù)操作示例
- PHP PDO預處理語句及事務的使用
