PHP中MySQL、MySQLi和PDO的用法和区别

MySQL 是 PHP 操作 MySQL 数据库最原始的 Extension。MySQLi 的 i 代表 Improvement ，提供了相对进阶的功能，就 Extension 而言，本身也增加了安全性。而 PDO（PHP Data Object）则是提供了一个 Abstraction Layer 来操作数据库，光从理论上看不出来有什么差别，所以就直接看代码吧。

 

首先，先来看一段用 MySQL 编写的代码：

<?php
mysql_connect($db_host, $db_user, $db_password);
mysql_select_db($dn_name);
$result = mysql_query("SELECT `name` FROM `users` WHERE `location` = '$location'");
while ($row = mysql_fetch_array($result, MYSQL_ASSOC))
{
    echo $row['name'];
}
mysql_free_result($result);
?>

 

乍看之下没有什么问题，其实背后还是有些学问的。

这种方式不能 Bind Column，$location 的地方容易被 SQL 注入。于是后来发展出了 mysql_escape_string()（备注：5.3.0 之后弃用）以及 mysql_real_escape_string() 来解决这个问题，不过这么一搞，整个过程会变得复杂丑陋，而且如果参数多了，可以想象会是怎样的情形……

<?php
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
mysql_real_escape_string($user),
mysql_real_escape_string($password));
mysql_query($query);
?>

 

在 MySQLi 中有了不少进步，除了通过 Bind Column 来解决上述问题，我们可以对比一下 Object oriented style（下面这段 MySQLi 范例的写法）和 Procedural style（上面 MySQL 范例的写法）两种写法的差别。

<?php
$mysqli = new mysqli($db_host, $db_user, $db_password, $db_name);
$sql = "INSERT INTO `users` (id, name, gender, location) VALUES (?, ?, ?, ?)";
$stmt = $mysqli->prepare($sql);
$stmt->bind_param('dsss', $source_id, $source_name, $source_gender, $source_location);
$stmt->execute();
$stmt->bind_result($id, $name, $gender, $location);
while ($stmt->fetch())
{
    echo $id . $name . $gender . $location;
}
$stmt->close();
$mysqli->close();
?>

 

又发现了一些缺点，例如得 Bind Result，这个就有点多余，不过这其实无关紧要，因为最大的问题还是在于这不是一个抽象（Abstraction）的方法，所以当后端更换数据库的时候，就是痛苦的开始了。

于是 PDO 就出现了（备注：目前 Ubuntu 和 Debian 来说，PDO 并没有直接的套件可以安装，而是必须通过 PECL 安装）。

roga@carlisten-lx:~$ pecl search pdo

=======================================
Package Stable/(Latest) Local
PDO 1.0.3 (stable) PHP Data Objects Interface.
PDO_4D 0.3 (beta) PDO driver for 4D-SQL database
PDO_DBLIB 1.0 (stable) FreeTDS/Sybase/MSSQL driver for PDO
PDO_FIREBIRD 0.2 (beta) Firebird/InterBase 6 driver for PDO
PDO_IBM 1.3.2 (stable) PDO driver for IBM databases
PDO_INFORMIX 1.2.6 (stable) PDO driver for IBM Informix INFORMIX databases
PDO_MYSQL 1.0.2 (stable) MySQL driver for PDO
PDO_OCI 1.0 (stable) Oracle Call Interface driver for PDO
PDO_ODBC 1.0.1 (stable) ODBC v3 Interface driver for PDO
PDO_PGSQL 1.0.2 (stable) PostgreSQL driver for PDO
PDO_SQLITE 1.0.1 (stable) SQLite v3 Interface driver for PDO
pdo_user 0.3.0 (beta) Userspace driver for PDO

 

当通过 PECL 安装装好后，就可以通过以下方式来操作数据库：

<?php
$dsn = "mysql:host=$db_host;dbname=$db_name";
$dbh = new PDO($dsn, $db_user, $db_password);
$sql = "SELECT `name`, `location` FROM `users` WHERE `location` = ? , `name` = ?";
$sth = $dbh->prepare($sql);
$sth->execute(array($location, $name));
$result = $sth->fetch(PDO::FETCH_OBJ);
echo $result->name . $result->location;
$dbh = NULL; //by www.jbxue.com
?>

 

乍看之下，PDO 的代码好像也没有变短，那到底好处是什么呢？

1、PDO 连接数据库时通过 Connection String 来决定连接何种数据库。

2、PDO 可以通过 PDO::setAttribute 来决定连接时的设定，比如 Persistent Connection，回传错误的方式（Exception，E_WARNING，NULL）。甚至是回传参数名称的大小写等等。

3、PDO 支持 Bind Column 的功能，除了基本的 Prepare，Execute 以外，也可以 Bind 单一参数，并且指定参数类型。

4.、PDO 是 Abstraction Layer，所以就算更换储存媒介，需要花的功夫比起来是最少的。

可惜的是，尽管这些东西都已经出现很久了，但还是不够大众化。我想或许是因为大家习惯看坊间的书籍学习，但那些书本往往只会介绍最简单最传统的方式，导致很多人还是在用 MySQL 这种方直接连数据库。

不过，目前来说我个人还是最喜爱通过 DBI 来连接数据库，像是 ActiveRecord 以及 Propel ORM（Object-Relational Mapping）。

例如说以 ActiveRecord 为例，如果要实现这样的 SQL 叙述：

INSERT INTO `users` (id, name, gender, location) VALUES(1, 'roga', 'male', 'tpe')

 

以 PDO 来写是：

<?php
$sql = "INSERT INTO `users` (id, name, gender, location) VALUES(?, ?, ?, ?)";
$sth = $dbh->prepare($sql);
$sth->execute(array(1, 'roga', 'male', 'tpe'));
?>

 

但以 ActiveRecord 来说的话，则是：

<?php
$user = new User();
$user->id = 1;
$user->name = 'roga';
$user->gender = 'male';
$user->location = 'tpe';
$user->save();
?>

 

后者在语法上是不是简洁很多呢，而且也大幅降低对 SQL 语言的依赖性！不同数据库对 SQL 实作的问题可参考 Comparison of different SQL implementations。

 

转载请注明：程序猿 » PHP中MySQL、MySQLi和PDO的用法和区别