php pdo总结,PHP PDO总结

定义

PDO —— PHP 数据对象(PHP Data Object)的缩写,作为一个为多种数据库提供统一的连接接口的方式 PDO 底层需要配合对应数据库的 PDO 数据驱动来操作数据库。PDO 是当今PHP官方推荐的数据库连接方式,其优势在于:

1、PDO 真正的以底层实现的统一接口数库操作接口,不管后端使用的是何种数据库,如果代码封装好了以后,应用层调用基本上差不多的,当后端数据库更换了以后,应用层代码基本不用修改.

2、PDO 支持更高级的 DB 特性操作,如:存储过程的调度等, mysql 原生库是不支持的.

3、PDO 是 PHP 官方的 PECL 库,兼容性稳定性必然要高于 MySQL Extension,可以直接使用 pecl upgrade pdo 命令升级.

4、PDO 可以防止 SQL 注入,确保数据库更加安全 PDO 防止 SQL 注入的原理

在 PHP 5.1.0 之后 PDO 默认开启状态 你可以通过 phpinfo()函数来查看 PDO 的开启状态:

c5f81f8d3ef2aaedd7ecef5f7434977e.png

连接(以 MYSQL 为例)

1、实例化一个 PDO 对象

$dbh=new PDO('mysql:host=localhost;dbname=sakila','root','');

复制代码

这里第一个参数我们指定 PDO 的驱动类型为 mysql , mysql 的 host 地址和连接的数据库名称,第二三个参数为用户名密码

2、基本的查询 这里我们以 mysql 官方提供的 sakila 数据库的 language 表来测试:

2a07db06003052f639451b49e176c29c.png

try{

$dbh=new PDO('mysql:host=localhost;dbname=sakila','root','');

foreach($dbh->query('SELECT * from language') as $row) {

print_r($row);

}

}catch (PDOException $e){

print "Error ! : ".$e->getMessage();

die();

}

复制代码

运行结果如下:

0329c6eb23dd24784ca0603a0ca5447a.png

PDO 预处理

当我们使用数据库执行查询时,数据库管理系统( DBMS )会对查询进行编译,优化查询,而使用 PDO 预处理可以使这个过程只在首次查询的时候进行,在后续的相同的查询只需要对绑定的参数进行替换,这样就节省了重复编译的时间,另外使用 PDO 参数绑定还可以避免 SQL 注入等安全性问题。

代码演示:

try{

$dbh=new PDO('mysql:host=localhost;dbname=testDB','root','');

$stmt=$dbh->prepare("INSERT users (user_name,sex) VALUES (:user_name,:sex)");

$stmt->bindParam(':user_name',$name);

$stmt->bindParam(":sex",$sex);

//插入一行

$name="yang001";

$sex="M";

$stmt->execute();

//再次插入一行

$name="yang002";

$sex="F";

$stmt->execute();

}catch (PDOException $e){

print "Error ! : ".$e->getMessage();

die();

}

复制代码

查看数据库结果如下:

62005b516f7e83464dc70ea46adc1285.png

我们使用预处理的查询语句来取出结果:

try{

$dbh=new PDO('mysql:host=localhost;dbname=testDB','root','');

$stmt=$dbh->prepare("SELECT * FROM users WHERE user_name=:user_name ");

$stmt->bindParam(':user_name',$name);

//插入一行

$name="yang001";

if($stmt->execute()){

while ($row=$stmt->fetch(PDO::FETCH_ASSOC)){

print_r($row);

}

}

}catch (PDOException $e){

print "Error ! : ".$e->getMessage();

die();

}

复制代码

结果如下:

c2910ba94ab0af4dc65ff5db4f8fd1f6.png

关于 bindParam 的使用需要注意的一个地方

需要注意的是 bindParam 的第二个参数是引用参数,而 execute() 执行是属于延时执行,也就是等所有参数都绑定好之后再进行执行,这里有一种情况就是在foreach中传参会引发的引用值覆盖的问题。这个问题的来源来自鸟哥的这篇博客。根据这篇博客尝试一下重现这个错误:

$dbh=new PDO('mysql:host=localhost;dbname=test','root','');

$query = <<

INSERT INTO `users` (`username`, `password`) VALUES (:username, :password);

QUERY;

$statement=$dbh->prepare($query);

$bind_params=array(':username'=>'laruence',':password'=>'weibo');

foreach($bind_params as $key=>$value)

{

$statement->bindParam($key,$value);

}

$statement->execute();

复制代码

执行

$ php pdo.php

查看数据表的内容

5d6fd6ed9282b2da66fde705cfa0cb1d.png

从结果我们可以看到出现了博客中所描述的异常:我们本想 INSERT 的 username 明明是 laruence 却变成了我们绑定的 password的值。问题的原因是什么呢?鸟哥解释为:

究其原因, 也就是bindParam和bindValue的不同之处, bindParam要求第二个参数是一个引用变量(reference).

把上面的代码的foreach拆开, 也就是这个foreach:

foreach( $bind_params as $key => $value ){

$statement->bindParam($key, $value);

}

复制代码

相当于:

//第一次循环

$value = $bind_params[":username"];

$statement->bindParam(":username", &$value); //此时, :username是对$value变量的引用

//第二次循环

$value = $bind_params[":password"]; //oops! $value被覆盖成了:password的值

$statement->bindParam(":password", &$value);

复制代码

注:貌似 PHP 取消了引用类型的参数 需要加&符号的规定(好像有点坑 -_-!)

因为bindParam()函数的第二个参数是引用类型参数,而在foreach循环中对$value的赋值覆盖会导致&$value这个引用指向的内容被覆盖。

关于如何解决这个问题,建议为:

(推荐)在有引用类型参数传递的时候尽量避免使用foreach()

使用bindValue代替bindParam, 或者直接在 execute中传递整个参数数组.

使用foreach和reference(不推荐)foreach( $bind_params as $key => &$value )这又是另外的一个坑。

$stmt->bindParam($key, $bind_params[$key]);

结语

PDO 还有操作存储过程等功能,但是一般现在不推荐使用存储过程,此处不再总结。

参考文献:

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值