php操作MySQL数据库（二）

执行语句

在完成数据库的连接后，就可以通过 SQL 语句操作数据库了。在 MySQLi扩展中，通常使用 mysqli_query() 函数发送 SQL 语句，获取执行结果。函数的声明方式如下：

mixed mysqli_query (
      mysqli $link, 		//数据库连接
      string $query, 		//SQL语句
      int $resultmode = MYSQLI_STORE_RESULT	//结果集模式
)
在上述声明中，$link 表示通过 mysqli_connect() 函数获取的数据库连接，$query 表示 SQL 语句。当函数执行 SELECT、SHOW、DESCRIBE 或EXPLAIN 查询时，返回值是查询结果集，而对于其他查询，成功返回 true，失败返回 false。

在 mysqli_query() 函数中，可选参数 $resultmode 表示结果集模式，其值可以是 MYSQLI_USE_RESULT 或 MYSQLI_STORE_RESULT 两种常量。MYSQLI_STORE_RESULT 模式会将结果集全部读取到 PHP 端，而MYSQLI_USE_RESULT 模式仅初始化结果集检索，在处理结果集时进行数据读取。
为了更好地掌握 mysqli_query() 函数的用法，下面通过代码进行演示。

//连接数据库
$link = mysqli_connect('localhost', 'root', '123456'); 
mysqli_query($link, 'use `itcast`'); 	//选择数据库（SQL语句方式）
mysqli_query($link, 'set names utf8'); 	//设置字符集（SQL语句方式）
//执行SQL语句，并获取结果集
$result = mysqli_query($link, 'show databases');
if(!$result){
      exit('执行失败。错误信息：'.mysqli_error($link));
}
上述代码演示了如何通过 mysqli_query() 函数执行 SQL 语句、获取结果集，以及通过 mysqli_error() 函数获取错误信息。当 SQL 语句执行失败时，$result的值为 false，因此通过判断就可以输出错误信息并停止脚本执行。

处理结果集

当通过 mysqli_query() 函数执行 SQL 语句后，返回的结果集并不能直接使用，需要使用函数从结果集中获取信息，保存为数组。MySQLi 扩展中常用的处理结果集的函数如表所示。

在表列举函数中，mysqli_fetch_all() 和 mysqli_fetch_array() 的返回值支持关联数组和索引数组两种形式，函数第 1 个参数表示结果集，第 2 个参数是可选参数，表示返回的数组形式，其值有 MYSQLI_ASSOC、MYSQLI_NUM、MYSQLI_BOTH 三种常量，分别表示关联数组、索引数组，或两者皆有，默认值为 MYSQLI_BOTH。
示例：连接并选择“内容管理系统”的数据库，查询“栏目”表中的所有记录。具体代码如下。

/连接数据库，选择“itcast_cms”数据库
$link = mysqli_connect('localhost', 'root', '123456', 'itcast_cms');
//设置字符集
mysqli_set_charset($link, 'utf8');
//查询“cms_category”表中所有的数据
$result = mysqli_query($link, 'select * from `cms_category`');

示例：当需要一次查询一行记录时，可以通过 mysqli_fetch_assoc()、mysqli_fetch_row() 或 mysqli_fetch_array() 来实现，以 mysqli_fetch_assoc()为例，具体代码如下

/通过循环将结果集中所有的记录全部读取
while($row = mysqli_fetch_assoc($result)){
       echo $row['name'];  //输出“name”字段的值
}
上述代码中 mysqli_fetch_assoc() 函数用于获取结果集中的一行，因此与while 循环配合使用，可以将结果集中的数据全部取出来，直到该函数返回 false，跳出 while 循环。

当需要一次查询出所有的记录时，可以通过 mysqli_fetch_all() 函数来实现，具体代码如下。

//查询所有记录，获取关联数组结果
$data = mysqli_fetch_all($result, MYSQLI_ASSOC);
//打印数组结构
var_dump($data);   //每行记录是一个数组，所有的行组成了$data数组

预处理语句

MySQLi 扩展中有一种预处理语句的机制，其原理是预先编译 SQL 语句的模板，当执行时只传输有变化的数据。下图演示了预处理语句和传统方式的区别。

什么是预处理语句？
从图中可以看出，当 PHP 需要执行 SQL 时，传统方式是将发送的数据和 SQL 写在一起，这种方式每条 SQL 都需要经过分析、编译和优化的周期；而预处理语句只需要编译一次用户提交的 SQL 模板，在操作时，发送相关数据即可完成更新操作，这极大地提高了运行效率，而且无需考虑数据中包含特殊字符（如单引号）导致的语法问题。

mysqi_prepare()函数用于预处理一个待执行的 SQL 语句，函数声明如下

mysqli_stmt mysqli_prepare ( mysqli $link , string $query )

在上述声明中，参数 $link表示数据库连接，$query 表示 SQL 语句模板。当函数执行后，成功返回预处理对象，失败返回 false。

在编写SQL语句模板时，其语法是将数据部分使用“?”占位符代替。示例代码如下：

# SQL正常语法
UPDATE `user` SET `name`='aa' WHERE `id`=1
# SQL模板语法
UPDATE `user` SET `name`=? WHERE `id`=?

mysqli_stmt_bind_param() 函数用于将变量作为参数绑定到预处理语句中。函数的声明如下：

bool mysqli_stmt_bind_param (
       mysqli_stmt $stmt, 	//预处理对象
       string $types, 	//数据类型
       mixed &$var1, 	//绑定变量1（引用传参）
       [, mixed&$... ]        //绑定变量n...（可选参数，可绑定多个，引用传参）
       
)
在上述代码中，参数 $stmt 表示由 mysqli_prepare() 返回的预处理对象；$types 用于指定被绑定变量的数据类型，它是由一个或多个字符组成的字符串；后面的 $var（可以是多个参数）表示需要绑定的变量，且其个数必须与 $types 字符串的长度一致。该函数执行成功时返回 true，失败时返回 false。

mysqli_stmt_bind_param()

//连接数据库、预处理SQL模板
$link = mysqli_connect('localhost', 'root', '123456', 'itcast');
$stmt = mysqli_prepare($link, 'UPDATE `user` SET `name`=? WHERE `id`=?');
//参数绑定（将变量$name、$id按顺序绑定到SQL语句“?”占位符上）
mysqli_stmt_bind_param($stmt, 'si', $name, $id);
在上述代码中，SQL语句中有两个“?”占位符，分别表示 name 字段和id 字段，name 字段是字符串类型，id 字段是整型，因此mysqli_stmt_bind_param() 的第二个参数为“si”。当代码执行后，变量$name 和 $id 就已经通过引用传参的方式进行了参数绑定。

在完成参数绑定后，接下来应该将数据内容发送给 MySQL 执行。mysqli_stmt_execute() 函数用于执行预处理，其声明如下。

bool mysqli_stmt_execute ( mysqli_stmt $stmt )

在上述声明中，$stmt 参数表示由 mysqli_prepare() 函数返回的预处理对象。当函数执行成功后，返回 true，执行失败返回 false。

接下来通过代码演示 mysqli_stmt_execute() 函数的使用，具体如下

//连接数据库、预处理SQL模板
$link = mysqli_connect('localhost', 'root', '123456', 'itcast');
$stmt = mysqli_prepare($link, 'UPDATE `user` SET `name`=? WHERE `id`=?');
//参数绑定，并为已经绑定的变量赋值
mysqli_stmt_bind_param($stmt, 'si', $name, $id);
$name = 'aa';
$id = 1;

接下来通过代码演示 mysqli_stmt_execute() 函数的使用，具体如下。

//执行预处理（第一次执行）
mysqli_stmt_execute($stmt);
//为第二次执行重新赋值
$name = 'bb';
$id = 2;
//执行预处理（第二次执行）
mysqli_stmt_execute($stmt);
通过上述代码可以看出，MySQLi 扩展提供的预处理方式，实现了数据与SQL 的分离。这种方式不仅提高了执行效率，也解决了直接用字符串拼接SQL 语句带来的安全问题。

 连接数据库代码

   //连接数据库、设置字符集
 2     $link = mysqli_connect('localhost', 'root', '123456', 'itcast');
 3     mysqli_set_charset($link, 'utf8');
 4     // ① 执行查询操作、处理结果集
 5     if(!$result = mysqli_query($link, 'SELECT * FROM `user`')){
 6	exit('执行失败。错误信息：'.mysqli_error($link));  //获取错误信息
 7     }
 8     $data = mysqli_fetch_all($result, MYSQLI_ASSOC);
  9// ② 用完后，释放结果集
10    mysqli_free_result($result);
11    // ③ 执行插入操作，拼接SQL语句
12   //转义特殊符号
        $name = mysqli_real_escape_string($link, "单引号'测试'文本"); 
13   if(!mysqli_query($link, "INSERT INTO `user` (`name`) VALUES 
         ('".$name."')")){
14	exit('执行失败。错误信息：'.mysqli_error($link));
15    }
16    // ④ 获取最后插入的ID
17    $id = mysqli_insert_id($link);  //获取AUTO_INCREMENT字段的自增值
18     // ⑤ 执行修改操作
   19if(!mysqli_query($link, "UPDATE `user` SET `name`='aa' WHERE 
        `id`>2")){
20	exit('执行失败。错误信息：'.mysqli_error($link));
21    }
22   // ⑥ 获取受影响的行数
23$num = mysqli_affected_rows($link);  //可获取UPDATE、
                                                                  //DELETE等操作影响的行数
24   // ⑦ 关闭连接
25   mysqli_close($link);

在上述代码中，第 4~10 行演示了 mysqli_error()、mysqli_free_result()函数的使用，第 12 行演示了 mysqli_real_escape_string() 函数的使用，第17~25行演示了 mysqli_insert_id()、mysqli_affected_rows()、mysqli_close()函数的使用。其中第 8 行 $data保存了查询出的数据，因此在第10行释放了$result 结果集。第 25 行关闭 $link连接后，$link 将不能继续使用。