当前位置:首页 > PHP教程 > php应用 > 列表

PHP使用PDO、mysqli扩展实现与数据库交互操作详解

发布:smiling 来源: PHP粉丝网  添加日期:2021-12-06 15:46:55 浏览: 评论:0 

这篇文章主要介绍了PHP使用PDO、mysqli扩展实现与数据库交互操作,结合实例形式分析了PHP基于pdo和mysqli操作数据的相关使用技巧,需要的朋友可以参考下。

本文实例讲述了PHP使用PDO、mysqli扩展实现与数据库交互操作,分享给大家供大家参考,具体如下:

数据库

在我们开发php时,可能有人已经学习了php数据库的连接交互,也可能正准备学习。如今,按照php的发展趋势,mysql扩展已经停止开发,在以后的发展中可能被淘汰,如mysql->query(),mysql->connect()等以后可能就无法使用。所以我们要尽量使用PDO和mysqli扩展。

PDO

基本操作如下:

  1. <?php 
  2. // PDO + MySQL 
  3. $servername = "localhost"
  4. $username = "username"
  5. $password = "password"
  6. try{ 
  7.   $pdo = new PDO('mysql:host=$servername;dbname=myDB''$username'
  8.    '$password'); 
  9.   echo '连接成功'; 
  10. catch(PDOExcepton $e){ 
  11.   echo $e->getMessge(); 
  12. $statement = $pdo->query("SELECT some_field FROM some_table"); 
  13. $row = $statement->fetch(PDO::FETCH_ASSOC); 
  14. echo htmlentities($row['some_field']); 
  15. // PDO + SQLite 
  16. $pdo = new PDO('sqlite:/path/db/foo.sqlite'); 
  17. $statement = $pdo->query("SELECT some_field FROM some_table"); 
  18. $row = $statement->fetch(PDO::FETCH_ASSOC); 
  19. echo htmlentities($row['some_field']); 
  20. //关闭连接 
  21. $pdo=null; 

PDO 并不会对 SQL 请求进行转换或者模拟实现并不存在的功能特性;它只是单纯地使用相同的 API 连接不同种类的数据库。

更重要的是,PDO 使你能够安全的插入外部输入(例如 ID)到你的 SQL 请求中而不必担心 SQL 注入的问题。这可以通过使用 PDO 语句和限定参数来实现。

我们来假设一个 PHP 脚本接收一个数字 ID 作为一个请求参数,这个 ID 应该被用来从数据库中取出一条用户记录。下面是一个错误的做法:

  1. <?php 
  2. $pdo = new PDO('sqlite:/path/db/users.db'); 
  3. $pdo->query("SELECT name FROM users WHERE id = " . $_GET['id']); // <-- NO! 

这是一段糟糕的代码。你正在插入一个原始的请求参数到 SQL 请求中。这将让被黑客轻松地利用[SQL 注入]方式进行攻击。想一下如果黑客将一个构造的 id 参数通过像 http://domain.com/?id=1%3BDELETE+FROM+users 这样的 URL 传入。这将会使 $_GET[‘id'] 变量的值被设为 1;DELETE FROM users 然后被执行从而删除所有的 user 记录!因此,你应该使用 PDO 限制参数来过滤 ID 输入。

  1. <?php 
  2. $pdo = new PDO('sqlite:/path/db/users.db'); 
  3. $stmt = $pdo->prepare('SELECT name FROM users WHERE id = :id'); 
  4. $id = filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT); // <-- 首先过滤您的数据 ,对于INSERT,UPDATE等特别重要 
  5. $stmt->bindParam(':id'$id, PDO::PARAM_INT); // <-- 通过PDO自动对SQL进行 

清理

$stmt->execute();

这是正确的代码。它在一条 PDO 语句中使用了一个限制参数。这将对外部 ID 输入在发送给数据库之前进行转义来防止潜在的 SQL 注入攻击。

对于写入操作,例如 INSERT 或者 UPDATE,进行数据过滤并对其他内容进行清理(去除 HTML 标签,Javascript 等等)是尤其重要的。PDO 只会为 SQL 进行清理,并不会为你的应用做任何处理。

mysqli扩展

mysqli基本操作如下:

  1. <?php 
  2. $servername = "localhost"
  3. $username = "username"
  4. $password = "password"
  5. // 创建连接 
  6. $conn = new mysqli($servername$username$password); 
  7. // 检测连接 
  8. if ($conn->connect_error) { 
  9.   die("连接失败: " . $conn->connect_error); 
  10. }  
  11. echo "连接成功"
  12. ?> 

注意在以上面向对象的实例中 $connect_error 是在 PHP 5.2.9 和 5.3.0 中添加的。如果你需要兼容更早版本 请使用以下代码替换:

  1. // 检测连接 
  2. if (mysqli_connect_error()) { 
  3.   die("数据库连接失败: " . mysqli_connect_error()); 

数据库交互

  1. <ul> 
  2. <?php 
  3. foreach ($db->query('SELECT * FROM table'as $row) { 
  4.   echo "<li>".$row['field1']." - ".$row['field1']."</li>"
  5. ?> 
  6. </ul> 

这从很多方面来看都是错误的做法,主要是由于它不易阅读又难以测试和调试。而且如果你不加以限制的话,它会输出非常多的字段。

其实还有许多不同的解决方案来完成这项工作 — 取决于你倾向于 面向对象编程(OOP)还是函数式编程 — 但必须有一些分离的元素。

来看一下最基本的做法:

  1. <?php 
  2. function getAllFoos($db) { 
  3.   return $db->query('SELECT * FROM table'); 
  4. foreach (getAllFoos($dbas $row) { 
  5.   echo "<li>".$row['field1']." - ".$row['field1']."</li>";  

这是一个不错的开头。将这两个元素放入了两个不同的文件于是你得到了一些干净的分离。

创建一个类来放置上面的函数,你就得到了一个「Model」。创建一个简单的.php文件来存放表示逻辑,你就得到了一个「View」。这已经很接近 MVC — 一个大多数框架常用的面向对象的架构。

//foo.php

  1. <?php 
  2. $db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8''username''password'); 
  3. // 使模板可见 
  4. include 'models/FooModel.php'
  5. // 实例化类 
  6. $fooModel = new FooModel($db); 
  7. // Get the list of Foos 
  8. $fooList = $fooModel->getAllFoos(); 
  9. // 显示视图 
  10. include 'views/foo-list.php'
  11. //models/FooModel.php 
  12.  
  13. <?php 
  14. class FooModel 
  15.   protected $db
  16.   public function __construct(PDO $db
  17.   { 
  18.     $this->db = $db
  19.   } 
  20.   public function getAllFoos() { 
  21.     return $this->db->query('SELECT * FROM table'); 
  22.   } 
  23. //views/foo-list.php 
  24.  
  25. <?php foreach ($fooList as $row): ?> 
  26.   <?= $row['field1'] ?> - <?= $row['field1'] ?> 
  27. <?php endforeach ?> 

许多框架都提供了自己的数据库抽象层,其中一些是设计在 PDO 的上层的。这些抽象层通常将你的请求在 PHP 方法中包装起来,通过模拟的方式来使你的数据库拥有一些之前不支持的功能。这种抽象是真正的数据库抽象,而不单单只是 PDO 提供的数据库连接抽象。这类抽象的确会增加一定程度的性能开销,但如果你正在设计的应用程序需要同时使用 MySQL,PostgreSQL 和 SQLite 时,一点点的额外性能开销对于代码整洁度的提高来说还是很值得的。

Tags: PDO mysqli

分享到: