第一步:测试pdo是否启用:
运行如下代码,如果提示参数错误,说明PDO已经安装,如果说明对象不存在,则修改PHP配置文件php.ini,取消php_pdo_yourssqlserverhere.extis前面的注释。
$test=new PDO();Warning: PDO::__construct() expects at least 1 parameter, 0 given in D:\wamp64\www\test\test.php on line 以上错误提示缺少参数,说明pdo安装成功!
第二步:连接数据库
$dsn = 'mysql:dbname=demo;host=localhost;port=3306';
$username = 'root';
$password = '123456';
try {
$db = new PDO($dsn, $username, $password);
} catch(PDOException $e) {
die('Could not connect to the database:' . $e);
}第三步:基本查询
在PDO中使用query和exec两种方法使得对数据库查询变得非常简单。如果你想得到查询结果的行数exec是非常好用的,因此对SELECT查询语句是非常有用的。
$statement = <<<SQL
SELECT *
FROM `student`
WHERE `class` = 1
SQL;
$rows = $db->query($statement);如果上面的查询是正确的,则$rows现在是一个PDO Statement对象,我们可以从这个对象中获取我们需要的结果和一共查询到了多少结果集。
第四步:获取行数
如果利用的是Mysql数据库,PDO Statement中包含了一个rowCount的方法可以获取结果集中的行数,如下代码所示:
echo $rows->rowCount();第五步:遍历结果集
foreach($rows->FetchAll(PDO::FETCH_ASSOC) as $row) {
echo "<pre>";
print_r($row);
echo "</pre>";
}PDO也支持Fetch方法,这个方法只返回第一条结果。
注意:转义用户输入的特殊字符
PDO提供了一个方法叫做quote,这个方法可以把输入字符串中带有引号的地方进行特殊字符转义。
$input= this is's' a '''pretty dange'rous str'ing$db->quote($input);
//输出结果:'this is\'s\' a \'\'\'pretty dange\'rous str\'ing'使用exec()获取影响的行数
PDO可以使用exec()方法实现UPDATE,DELETE和INSERT 操作,执行后它会返回受影响行数的数量:
$statement = <<<SQL
DELETE FROM `student`
WHERE `class` = 1;
SQL;
echo $db->exec($statement);预处理语句:
尽管exec方法和查询在PHP中仍然被大量使用和支持,但是PHP官网上还是要求大家用预处理语句的方式来替代。为什么呢?主要是因为:它更安全。预处理语句不会直接在实际查询中插入参数,这就避免了许多潜在的SQL注入。
然而出于某种原因,PDO实际上并没有真正的使用预处理,它是在模拟预处理方式,在将语句传给SQL服务器之前会把参数数据插入到语句中,这使得某些系统容易受到SQL注入。
如果你的SQL服务器不真正的支持预处理,我们可以很容易的通过如下方式在PDO初始化时传参来修复这个问题:
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);下面是我们的第一个预处理语句:
$statement = $db->prepare('SELECT * FROM student WHERE `name`=? AND `class`=?');
$statement2 = $db->prepare('SELECT * FROM student WHERE `name`=:name AND `class`=:class)';如上面的代码所示,有两种创建参数的方法,命名的与匿名的(不可以同时出现在一个语句中)。然后你可以使用bindValue来敲进你的输入:
$statement->bindValue(1, 'Cake');
$statement->bindValue(2, 1);
$statement2->bindValue(':name', 'user');
$statement2->bindValue(':class', 1);注意使用命名参数的时候你要包含进冒号(:)。PDO还有一个bindParam方法,可以通过引用绑定数值,也就是说它只在语句执行的时候查找相应数值。
现在剩下的唯一要做的事情,就是执行我们的语句:
$statement->execute();
$statement2->execute();
//获取我们的结果:
$cake = $statement->Fetch();
$pie = $statement2->Fetch();为了避免只使用bindValue带来的代码碎片,你可以用数组给execute方法作为参数,像这样:
$statement->execute(array(1 => 'Cake', 2 => 1));
$statement2->execute(array(':name' => 'Pie', ':class' => 1));事务机制:
一个事务就是执行一组查询,但是并不保存他们的影响到数据库中。这样做的好处是如果你执行了4条相互依赖的插入语句,当有一条失败后,你可以回滚使得其他的数据不能够插入到数据库中,确保相互依赖的字段能够正确的插入。你需要确保你使用的数据库引擎支持事务。但是它并不是回滚所有的类型(例如在MySQL中使用DROP TABLE),这个方法并不是真正的可靠,我建议尽量避免依赖此方法。
try {
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->beginTransaction();
$db->exec("insert into staff (id, first, last) values (23, 'Joe', 'Bloggs')");
$db->exec("insert into salarychange (id, amount, changedate)
values (23, 50000, NOW())");
$db->commit();
} catch (Exception $e) {
$db->rollBack();
echo "Failed: " . $e->getMessage();
}
?> 其它有用的选项
PDO::ATTR_DEFAULT_FETCH_MODE
你可以选择PDO将返回的是什么类型的结果集,如PDO::FETCH_ASSOC,会允许你使用$result['column_name'],或者PDO::FETCH_OBJ,会返回一个匿名对象,以便你使用$result->column_name完整例子
<?php
$dsn = 'mysql:dbname=mysql;host=192.110.1.111;port=3306';
$username = 'ysp';
$password = 'xxxx';
try {
$pdo = new PDO($dsn, $username, $password);
$pdo->exec('set names utf8');
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
} catch (PDOException $e) {
die('Could not connect to the database:' . $e);
}
$statement = "select * from user";
$rows = $pdo->query($statement);
print_r($rows->rowCount());
foreach ($rows->FetchAll() as $row) {
echo "<pre>";
print_r($row);
echo "</pre>";
}在之后的查询语句的时候就不用每次都设置获取结果的模式了,是不是一劳永逸!
135
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
