pdo常用的sql写法

最新推荐文章于 2021-04-05 05:18:50 发布
最新推荐文章于 2021-04-05 05:18:50 发布
阅读量188 收藏 1
点赞数
文章标签: php 数据库 python
原文链接:https://my.oschina.net/hongjiang/blog/670755
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

 mysql_*函数已经过时,相当一段时间以来,mysql_*函数在其他SQL数据库编程接口方面已经有所差别;它不支持预处理,存储过程,事务等一些现代数据库设计思想,SQL语句字符串转义函数 mysql_real_escape_string() 和 拼接SQL语句的编程方法 已经过时并且很容易出错。最近一段时间里,它缺乏开发者的关注,缺少维护将可能导致一些安全问题不能被即时修复,或者在适配新版本的MySQL的时候不能 正常工作,这成为mysql_*函数面临的的另一个问题。PHP社区最近也对mysql_*函数给出不建议使用的建议,也有可能在未来的版本中最终被弃用 (不过不用过于担心,这可能还需要很长一段时间)。

        PDO拥有更好的编程接口,你可以使用它写出更加简洁,高效,安全的代码。PDO还为不同的SQL数据库提供了不同的驱动,方便你 使用新的数据库而不用再学习不同的编程接口。与拼接SQL语句构造查询语句不同,绑定参数可以简洁方便的构造出更加安全的查询语句,使用绑定参数的方法在 多次相似语句查询(仅仅某个参数不同)中也可以提高不少性能。PDO在错误处理方面也提供了多种方法。mysql_*函数缺乏一致的处理,与PDO的异常 模式相比,或者说没有处理异常,使用PDO,你可以得到一致的错误处理,这将节省您大量的时间来跟踪问题。

        在当前的PHP版本中,PDO模块是默认安装启用的,但是在使用PDO前你还需要安装另外两个软件包,一个是pdo_mysql数据库驱动程序,另外一个是类似php-mysql的mysql驱动程序。

2.连接MySQL

2.1. 以前的方式:

$link = mysql_connect('localhost', 'user', 'pass');mysql_select_db('testdb', $link);mysql_set_charset('UTF-8', $link);

2.2. 新的方式:

* 创建一个PDO对象,参数包括 DSN, username, password 和 一个驱动选项的数组(可忽略)。
* DSN其实就是一个告诉PDO该使用哪一种数据库驱动 和 一些连接信息的字符串,了解更多 PDO MYSQL DSN .

$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');

注意:确保DSN中设置了字符编码信息,否则将可能返回字符编码设置错误的信息,出于安全考虑,DSN最好包括字符编码信息设置。

         你也可以在第四个参数数组里填写一些驱动选项,建议将 PDO异常模式(下文讲解) 和 关闭预处理模拟(默认打开的,仅对于旧版本MySQL有用)两个参数加入到第四个参数数组中。

$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password', array(PDO::ATTR_EMULATE_PREPARES => false,PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));

你也可以在创建PDO对象后再通过setAttribute方法设置相应选项。

$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

3.错误处理

3.1. mysql_*函数的错误处理

//connected to mysql$result = mysql_query("SELECT * FROM table", $link) or die(mysql_error($link));

OR die()是个不错的错误处理方法,但是会因此结束页面,将错误信息呈现到用户面前,这可能是我们不想看到的结果。
PDO有三种错误处理模式

  1. PDO::ERRMODE_SILENT # 和 mysql_*函数类似,检查代码并查看 $db->errorInfo(); 获取详细信息。

  2. PDO::ERRMODE_WARNING # 抛出PHP警告。

  3. PDO::ERRMODE_EXCEPTION #抛出 PDOException 异常,在我认为,这是我们应该使用的模式, 这和 die(mysql_error()); 类似,但是它可以捕获并抛出具体异常信息。

3.2. code:

try {    //connect as appropriate as above    $db->query('hi'); //invalid query!} catch(PDOException $ex) {    echo "An Error occured!"; //user friendly message    some_logging_function($ex->getMessage());}

注意:你可以不用立即执行并捕获异常,你可以在任何合适的时候随时捕获。

  1. function getData($db) {

  2.   $stmt = $db->query("SELECT * FROM table");

  3.   return $stmt->fetchAll(PDO::FETCH_ASSOC);

  4. }


  6. //then much later

  7. try {

  8.   getData($db);

  9. } catch(PDOException $ex) {

  10.   //handle me.

  11. }

如果你不想使用try/catch来处理异常,就像使用OR die()那样处理,在production模式下关闭display_errors选项即可。

4.简单的查询语句(SELECT

4.1. mysql_*代码:

  1. $result = mysql_query('SELECT * from table') or die(mysql_error());


  3. $num_rows = mysql_num_rows($result);


  5. while($row = mysql_fetch_assoc($result)) {

  6.   echo $row['field1'].' '.$row['field2']; //etc...

  7. }

4.2. PDO代码:

foreach($db->query('SELECT * FROM table') as $row) {    echo $row['field1'].' '.$row['field2']; //etc...}

query() 方法返回了一个 PDOStatement 对象,你可以通过如下方法获取结果:

  1. $stmt = $db->query('SELECT * FROM table');


  3. while($row = $stmt->fetch(PDO::FETCH_ASSOC)) {

  4.    echo $row['field1'].' '.$row['field2']; //etc...

  5. }

或者

$stmt = $db->query('SELECT * FROM table');$results = $stmt->fetchAll(PDO::FETCH_ASSOC);//use $results

4.3. # Fetch Modes

注意 fetch()fetchAll() 代码中的PDO::FETCH_ASSOC ,它高速 PDO 以关联数组的形式返回 键,值;其他比如PDO::FETCH_NUM模式,则返回数值键值的数组,默认模式是 PDO::FETCH_BOTH 则返回前面两者的集合,既有数值键值的数组,又有关联数组。PDO也可以获取数据返回对象PDO::FETCH_OBJPDO::FETCH_CLASSPDO::FETCH_BOUND,bindColumn方法等更多内容,请阅读: PDOStatement Fetch documentation

4.4. # 获取数据行数(Getting Row Count)

代替 mysql_num_rows 方法,你可以使用 PDOStatement对象的rowCount();方法。

$stmt = $db->query('SELECT * FROM table');$row_count = $stmt->rowCount();echo $row_count.' rows selected';

注意:官方文档称此函数仅适用于返回 `UPDATE`, `INSERT`, `DELETE`操作的`affected rows`,而 `SELECT`操作,仅对于`PDO_MYSQL` 驱动,此函数同样适用(谨记),在操作其他数据库的时候尤其注意。

4.5. # 获取最后操作ID(Getting the Last Insert Id)

mysql_*代码:

$result = mysql_query("INSERT INTO table(firstname, lastname) VALUES('John', 'Doe')") or die("Insert Failed ".mysql_error());$insert_id = mysql_insert_id();

4.6. PDO代码:

$result = $db->exec("INSERT INTO table(firstname, lastname) VAULES('John', 'Doe')");$insertId = $db->lastInsertId();

5.执行 INSERT, UPDATE, DELETE 操作

5.1. mysql_*代码:

$results = mysql_query("UPDATE table SET field='value'") or die(mysql_error());$affected_rows = mysql_affected_rows($result);echo $affected_rows.' were affected';

5.2. PDO代码:

$affected_rows = $db->exec("UPDATE table SET field='value'");echo $affected_rows.' were affected'

DELETEINSERT 操作同样适用。

6.运行带有查询参数的语句(Running Statements With Parameters)

        对于 不携带任何参数的查询语句,我们可以使用 query方法处理SELECT操作,使用exec方法处理 INSERTUPDATEINSERT操作,而对于携带查询参数的语句,你应该使用绑定参数的方法来安全的处理这些操作。

6.1. mysql_*代码:

$results = mysql_query(sprintf("SELECT * FROM table WHERE id='%s' AND name='%s'",        mysql_real_escape_string($id), mysql_real_escape_string($name))) or die(mysql_error());$rows = array();while($row = mysql_fetch_assoc($results)){    $rows[] = $row;}

6.2. PDO代码:

$stmt = $db->prepare("SELECT * FROM table WHERE id=? AND name=?");$stmt->execute(array($id, $name));$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

        prepare方法将查询语句发送到服务器,以“?”作为参数占位符进行编译,execute方法将查询参数发送到服务器,运行之前编译好的查询语句。因为 查询语句查询参数 是分开发送的,所以在参数里的SQL语句是不可能被执行的,所以不会发生 SQL注入,这是一种比连接字符串构造SQL语句更加安全的解决方法。

注意: 当你使用**绑定参数**的时候,不要对"?"占位符使用引号(SQL语句原来是对参数使用引号的),因为参数类型是在execute方法的时候确定的,所以在prepare的时候不必对占位符使用引号。

        还有一些绑定参数的方法,bindValue方法可以分别绑定每个参数来代替execute方法的数组方式,同时还分别设置每个参数的类型。

$stmt = $db->prepare("SELECT * FROM table WHERE id=? AND name=?");$stmt->bindValue(1, $id, PDO::PARAM_INT);$stmt->bindValue(2, $name, PDO::PARAM_STR);$stmt->execute();$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

6.3. #命名占位符

如果你有许多参数需要绑定,不要使用问号占位符,以防混淆出错,你可以使用命名占位符代替问号占位符

$stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");$stmt->bindValue(':id', $id, PDO::PARAM_INT);$stmt->bindValue(':name', $name, PDO::PARAM_STR);$stmt->execute();$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

你也可以使用execute方法,以数组的方式绑定参数:

$stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");$stmt->execute(array(':name' => $name, ':id' => $id));$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

6.4. #INSERT, DELETE, UPDATE 预处理查询

INSERT, DELETE, UPDATE 预处理语句的使用和SELECT类似,我们举几个例子:

$stmt = $db->prepare("INSERT INTO table(field1,field2,field3,field4,field5) VALUES(:field1,:field2,:field3,:field4,:field5)");$stmt->execute(array(':field1' => $field1, ':field2' => $field2, ':field3' => $field3, ':field4' => $field4, ':field5' => $field5));$affected_rows = $stmt->rowCount();
$stmt = $db->prepare("DELETE FROM table WHERE id=:id");$stmt->bindValue(':id', $id, PDO::PARAM_STR);$stmt->execute();$affected_rows = $stmt->rowCount();
$stmt = $db->prepare("UPDATE table SET name=? WHERE id=?");$stmt->execute(array($name, $id));$affected_rows = $stmt->rowCount();

6.5. #在预处理中使用SQL函数

=>无效方法:

//THIS WILL NOT WORK!$time = 'NOW()';$name = 'BOB';$stmt = $db->prepare("INSERT INTO table(`time`, `name`) VALUES(?, ?)");$stmt->execute(array($time, $name));

=>正确方法

$name = 'BOB';$stmt = $db->prepare("INSERT INTO table(`time`, `name`) VALUES(NOW(), ?)");$stmt->execute(array($name));

=>你也可以在SQL函数里绑定参数:

$name = 'BOB';$password = 'badpass';$stmt = $db->prepare("INSERT INTO table(`hexvalue`, `password`) VALUES(HEX(?), PASSWORD(?))");$stmt->execute(array($name, $password));

=>但是不能作为LIKE的参数:

//THIS DOES NOT WORK$stmt = $db->prepare("SELECT field FROM table WHERE field LIKE %?%");$stmt->bindParam(1, $search, PDO::PARAM_STR);$stmt->execute();

=>正确使用LIKE并绑定参数的方法:

$stmt = $db->prepare("SELECT field FROM table WHERE field LIKE ?");$stmt->bindValue(1, "%$search%", PDO::PARAM_STR);$stmt->execute();

注意:这里使用的是bindValue而不是bindParam,否则会发生PDOException或致命错误。

6.6. #使用循环运行预处理语句

预处理语句可以一次设置,多次调用,因为仅在第一次传入的时候编译,因此在后来的多次调用中提高了不少效率。
         典型的应用就是bindParambindParambindValue的不同之处在于,它不是绑定了参数的值,而是绑定参数变量本身,因此,如果参数变量变化了,那么在execute处理的时候,查询也将相应变化。

$values = array('bob', 'alice', 'lisa', 'john');$name = '';$stmt = $db->prepare("INSERT INTO table(`name`) VALUES(:name)");$stmt->bindParam(':name', $name, PDO::PARAM_STR);foreach($values as $name) {   $stmt->execute();}

7.PDO中的事务(Transactions)

注意:调用`beginTransaction()`方法即自动关闭了`自动提交`。

  1. try {

  2.    $db->beginTransaction();


  4.    $db->exec("SOME QUERY");


  6.    $stmt = $db->prepare("SOME OTHER QUERY?");

  7.    $stmt->execute(array($value));


  9.    $stmt = $db->prepare("YET ANOTHER QUERY??");

  10.    $stmt->execute(array($value2, $value3));


  12.    $db->commit();

  13. } catch(PDOException $ex) {

  14.    //Something went wrong rollback!

  15.    $db->rollBack();

  16.    echo $ex->getMessage();

  17. }


转载于:https://my.oschina.net/hongjiang/blog/670755

weixin_34301307
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php使用pdo连接sqlserver示例分享
09-10
在开发PHP程序时我们可以借助多种连接方式访问各类的数据库...自PHP5以来PDO作为新生事物将所有数据库接口收入囊中,为开发人员提供了方便快捷的数据库读取方式。本文将介绍如何在Linux服务器配置PHPSQL Server的连接
ThinkPHP5 连接MySql数据库问题
每天进步一点就够了
04-17 8079
问题一:could not find driver $this->resultSetType = $config['resultset_type']; } try { if (empty($config['dsn'])) { $config['dsn'] = $this->parseDsn($config); } if ($config['debug']) { $startTi
ThinkPHP5 数据库操作-----之流程分析(一)
Zsd
11-09 6948
目标 TP自从3.2.3开始就在使用PDO方式链接数据库,现在我就研究研究TP5的数据库链接操作 PDO。以及其对数据库操作 的流程。 TP5 默认使用的 是PDO 的方式链接数据库。下面对PDO进行了解释。 PDO解释 百度解释: 1、PDO并不能使用PDO扩展本身执行任何数据库操作,必须使用一个database-specific PDO driver(针对特定数据库PDO驱动)
MySQL数据库PDO教程
weixin_34252686的博客
07-01 105
2019独角兽企业重金招聘Python工程师标准>>> ...
php7跑出系统异常,php5和php7的异常处理机制(thinkphp5 异常处理的分析)
weixin_42405368的博客
03-29 863
本篇文章主要给大家介绍php5和php7的异常处理机制(thinkphp5 异常处理的分析),希望对需要的朋友有所帮助!1.php异常和错误在其他语言中,异常和错误是有区别的,但是PHP,遇见自身错误时,会触发一个错误,而不是跑出异常。并且,php大部分情况,都会触发错误,终止程序执行,在php5中,try catch是没有办法处理错误的。php7是可以捕获错误的;1.1 php5 错误异常// ...
linux php 1045,Linux下thinkPHP连接数据库报如下错:PDOException in Connection.php line 295(SQLSTATE[HY000] [1045...
weixin_31842821的博客
03-16 1735
$this->fetchType=$config['result_type'];}try {if (empty($config['dsn'])) {$config['dsn'] =$this->parseDsn($config);}if ($config['debug']) {$startTime=microtime(true);}$this->links[$linkNum] =...
php使用PDO执行SQL语句的方法分析
10-20
主要介绍了php使用PDO执行SQL语句的方法,结合实例形式分析了PDO常用SQL函数功能及使用技巧,需要的朋友可以参考下
php5.4之PDO连接SQLSERVER
04-23
PHPPDO连接SQLSERVER: 含全套工具: php5.4_x86_nts安装包 微软的SQLSRV拓展 微软的odbc驱动msodbcsql.msi 微软的sql客户端sqlncli.msi 配置好的php.ini 具体安装说明(原创亲测) 说实话这个得来很不容易,整整一天...
PHPPDO常用类库实例分析
10-22
主要介绍了PHPPDO常用类库,结合实例形式分析了PDO类库常见的连接,初始化及增删改查等操作技巧,需要的朋友可以参考下
Conncetion
aniwo41的专栏
09-05 1110
作用:主要作用通过构建PDO对象与数据库进行交互 代码解析 属性:  protected $config = [ //数据类型 'type'=>'', //服务器地址 'hostname'=>'', //端口号 'hostport'=>'', //数据库名 'dbname'=>'', //用户名 'username'=>'', //密码 'password'=...
简单的MVC框架(PDO封装)
09-02
自己做的简单的MVC框架,内部代码有些凌乱,v层用的是smarty.重构了assion,display两个方法,内附数据库测试文件!
php pdo基础代码,PHP数据库入门与PDO的增删改写法
weixin_35888603的博客
03-10 196
一、PHP数据库介绍PHP数据库,一般用MySQL较多,是一款开源免费的关系型数据库软件。可视化数据库管理软件有Navicat,PHPMyadmin,adminer等。二、PDO介绍PDO(PHP Data Objects)是一种在PHP里连接数据库的使用接口。核心是用于数据库的连接、发送sql语句等。PDO连接数据库三要素(重要参数):数据源:DSN; 用户名:username;用户密码:...
原生 PDO 写法 地址接口
小亮子的博客
12-13 458
<?php define('DSN', 'mysql:dbname=test;charset=utf8;host=localhost'); define('USER', 'root'); define('PWD', 'root'); $db = new PDO(DSN, USER, PWD); // 省 $province_listSql = "SELECT region_id, r...
mysqli、pdo操作mysql写法
A9925的专栏
05-01 957
PHP code? 1 2 3 4 5 $db = new mysqli('localhost', '用户名', '口令', '数据库名'); $rs = $db->query("select * from tbl_name"); while($row = $rs->fetch_assoc()) {   //对 $row 的处理 }
php-pdo写法的删除学生,PDO三种写法的删除操作
weixin_36485321的博客
04-05 94
写法一:最简单的写法header('Content-type:text/html;charset=utf8');//连接数据库$pdo=newPDO('mysql:dbname=test','root','root');$sql="DELETEFROMuserWHEREid=3";//方式一if($pdo->exec($sql)==1){echo'删除成功';}else...
mysql pdo update_PHP PDO操作MySQL基础教程
weixin_39723920的博客
02-17 362
本文实例讲述了PHP PDO操作MySQL的方法。分享给大家供大家参考,具体如下:PHP中的PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库,都可以通过一致的函数执行查询和获取数据。PDO支持的PHP版本为PHP5.1以及更高的版本,而且在PHP5.2下PDO默认为开启状态,下面是在php.ini中PDO的配置:extension=...
pdosql拼接
qq_36249659的博客
02-10 245
$keys=implode(',',array_keys($data));$values=array_values($data);$place_holders = implode(',', array_fill(0, count($values), '?'));$sql="insert into $table ($keys) values ($place_holders)";$sth = $thi...
pdo mysql select_使用PDO从MySQL获取结果
weixin_35846141的博客
01-25 121
小编典典例。 这是您的dbc类class dbc {public $dbserver = 'server';public $dbusername = 'user';public $dbpassword = 'pass';public $dbname = 'db';function openDb() {try {$db = new PDO('mysql:host=' . $this->dbse...
PDO预处理能防止SQL注入吗
最新发布
06-02
是的,PDO预处理可以有效地防止SQL注入。预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值