定义
PDO —— PHP 数据对象(PHP Data Object)的缩写,作为一个为多种数据库提供统一的连接接口的方式 PDO 底层需要配合对应数据库的 PDO 数据驱动来操作数据库。PDO 是当今PHP官方推荐的数据库连接方式,其优势在于:
1、PDO 真正的以底层实现的统一接口数库操作接口,不管后端使用的是何种数据库,如果代码封装好了以后,应用层调用基本上差不多的,当后端数据库更换了以后,应用层代码基本不用修改.
2、PDO 支持更高级的 DB 特性操作,如:存储过程的调度等, mysql 原生库是不支持的.
3、PDO 是 PHP 官方的 PECL 库,兼容性稳定性必然要高于 MySQL Extension,可以直接使用 pecl upgrade pdo 命令升级.
4、PDO 可以防止 SQL 注入,确保数据库更加安全 PDO 防止 SQL 注入的原理
在 PHP 5.1.0 之后 PDO 默认开启状态 你可以通过 phpinfo()函数来查看 PDO 的开启状态:
连接(以 MYSQL 为例)
1、实例化一个 PDO 对象
$dbh=new PDO('mysql:host=localhost;dbname=sakila','root','');
复制代码
这里第一个参数我们指定 PDO 的驱动类型为 mysql , mysql 的 host 地址和连接的数据库名称,第二三个参数为用户名密码
2、基本的查询 这里我们以 mysql 官方提供的 sakila 数据库的 language 表来测试:
try{
$dbh=new PDO('mysql:host=localhost;dbname=sakila','root','');
foreach($dbh->query('SELECT * from language') as $row) {
print_r($row);
}
}catch (PDOException $e){
print "Error ! : ".$e->getMessage();
die();
}
复制代码
运行结果如下:
PDO 预处理
当我们使用数据库执行查询时,数据库管理系统( DBMS )会对查询进行编译,优化查询,而使用 PDO 预处理可以使这个过程只在首次查询的时候进行,在后续的相同的查询只需要对绑定的参数进行替换,这样就节省了重复编译的时间,另外使用 PDO 参数绑定还可以避免 SQL 注入等安全性问题。
代码演示:
try{
$dbh=new PDO('mysql:host=localhost;dbname=testDB','root','');
$stmt=$dbh->prepare("INSERT users (user_name,sex) VALUES (:user_name,:sex)");
$stmt->bindParam(':user_name',$name);
$stmt->bindParam(":sex",$sex);
//插入一行
$name="yang001";
$sex="M";
$stmt->execute();
//再次插入一行
$name="yang002";
$sex="F";
$stmt->execute();
}catch (PDOException $e){
print "Error ! : ".$e->getMessage();
die();
}
复制代码
查看数据库结果如下:
我们使用预处理的查询语句来取出结果:
try{
$dbh=new PDO('mysql:host=localhost;dbname=testDB','root','');
$stmt=$dbh->prepare("SELECT * FROM users WHERE user_name=:user_name ");
$stmt->bindParam(':user_name',$name);
//插入一行
$name="yang001";
if($stmt->execute()){
while ($row=$stmt->fetch(PDO::FETCH_ASSOC)){
print_r($row);
}
}
}catch (PDOException $e){
print "Error ! : ".$e->getMessage();
die();
}
复制代码
结果如下:
关于 bindParam 的使用需要注意的一个地方
需要注意的是 bindParam 的第二个参数是引用参数,而 execute() 执行是属于延时执行,也就是等所有参数都绑定好之后再进行执行,这里有一种情况就是在foreach中传参会引发的引用值覆盖的问题。这个问题的来源来自鸟哥的这篇博客。根据这篇博客尝试一下重现这个错误:
$dbh=new PDO('mysql:host=localhost;dbname=test','root','');
$query = <<
INSERT INTO `users` (`username`, `password`) VALUES (:username, :password);
QUERY;
$statement=$dbh->prepare($query);
$bind_params=array(':username'=>'laruence',':password'=>'weibo');
foreach($bind_params as $key=>$value)
{
$statement->bindParam($key,$value);
}
$statement->execute();
复制代码
执行
$ php pdo.php
查看数据表的内容
从结果我们可以看到出现了博客中所描述的异常:我们本想 INSERT 的 username 明明是 laruence 却变成了我们绑定的 password的值。问题的原因是什么呢?鸟哥解释为:
究其原因, 也就是bindParam和bindValue的不同之处, bindParam要求第二个参数是一个引用变量(reference).
把上面的代码的foreach拆开, 也就是这个foreach:
foreach( $bind_params as $key => $value ){
$statement->bindParam($key, $value);
}
复制代码
相当于:
//第一次循环
$value = $bind_params[":username"];
$statement->bindParam(":username", &$value); //此时, :username是对$value变量的引用
//第二次循环
$value = $bind_params[":password"]; //oops! $value被覆盖成了:password的值
$statement->bindParam(":password", &$value);
复制代码
注:貌似 PHP 取消了引用类型的参数 需要加&符号的规定(好像有点坑 -_-!)
因为bindParam()函数的第二个参数是引用类型参数,而在foreach循环中对$value的赋值覆盖会导致&$value这个引用指向的内容被覆盖。
关于如何解决这个问题,建议为:
(推荐)在有引用类型参数传递的时候尽量避免使用foreach()
使用bindValue代替bindParam, 或者直接在 execute中传递整个参数数组.
使用foreach和reference(不推荐)foreach( $bind_params as $key => &$value )这又是另外的一个坑。
$stmt->bindParam($key, $bind_params[$key]);
结语
PDO 还有操作存储过程等功能,但是一般现在不推荐使用存储过程,此处不再总结。
参考文献: