PDO —— PHP 数据对象(PHP Data Object)的缩写,作为一个为多种数据库提供统一的连接接口的方式PDO底层需要配合对应数据库的PDO数据驱动来操作数据库。PDO是当今PHP官方推荐的数据库连接方式,其优势在于:
1、PDO 真正的以底层实现的统一接口数库操作接口,不管后端使用的是何种数据库,如果代码封装好了以后,应用层调用基本上差不多的,当后端数据库更换了以后,应用层代码基本不用修改.(推荐学习:PHP编程从入门到精通)
2、PDO 支持更高级的 DB 特性操作,如:存储过程的调度等, mysql 原生库是不支持的.
3、PDO 是 PHP 官方的 PECL 库,兼容性稳定性必然要高于 MySQL Extension,可以直接使用 pecl upgrade pdo 命令升级.
4、PDO 可以防止 SQL 注入,确保数据库更加安全
PDO 防止 SQL 注入的原理
在 PHP 5.1.0 之后 PDO 默认开启状态 你可以通过 phpinfo()函数来查看 PDO 的开启状态:
PDO 预处理
当我们使用数据库执行查询时,数据库管理系统( DBMS )会对查询进行编译,优化查询,而使用 PDO 预处理可以使这个过程只在首次查询的时候进行,在后续的相同的查询只需要对绑定的参数进行替换,这样就节省了重复编译的时间,另外使用 PDO 参数绑定还可以避免 SQL 注入等安全性问题。
代码演示:<?phptry {
$dbh=new PDO('mysql:host=localhost;dbname=testDB','root','');
$stmt=$dbh->prepare("INSERT users (user_name,sex) VALUES (:user_name,:sex)");
$stmt->bindParam(':user_name',$name);
$stmt->bindParam(":sex",$sex); //插入一行
$name="yang001";
$sex="M";
$stmt->execute(); //再次插入一行
$name="yang002";
$sex="F";
$stmt->execute();
}catch (PDOException $e){ print "Error ! : ".$e->getMessage(); die();
}
查看数据库结果如下:
我们使用预处理的查询语句来取出结果:<?phptry {
$dbh=new PDO('mysql:host=localhost;dbname=testDB','root','');
$stmt=$dbh->prepare("SELECT * FROM users WHERE user_name=:user_name ");
$stmt->bindParam(':user_name',$name); //插入一行
$name="yang001"; if($stmt->execute()){ while ($row=$stmt->fetch(PDO::FETCH_ASSOC)){
print_r($row);
}
}
}catch (PDOException $e){ print "Error ! : ".$e->getMessage(); die();
}
结果如下: