PHP使用PDO、mysqli扩展实现与数据库交互操作详解


Posted in PHP onJuly 20, 2019

本文实例讲述了PHP使用PDO、mysqli扩展实现与数据库交互操作。分享给大家供大家参考,具体如下:

数据库

在我们开发php时,可能有人已经学习了php数据库的连接交互,也可能正准备学习。如今,按照php的发展趋势,mysql扩展已经停止开发,在以后的发展中可能被淘汰,如mysql->query(),mysql->connect()等以后可能就无法使用。所以我们要尽量使用PDO和mysqli扩展。

PDO

基本操作如下:

<?php
// PDO + MySQL
$servername = "localhost";
$username = "username";
$password = "password";
try{
  $pdo = new PDO('mysql:host=$servername;dbname=myDB', '$username',
   '$password');
  echo '连接成功';
}
catch(PDOExcepton $e){
  echo $e->getMessge();
}
$statement = $pdo->query("SELECT some_field FROM some_table");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['some_field']);
// PDO + SQLite
$pdo = new PDO('sqlite:/path/db/foo.sqlite');
$statement = $pdo->query("SELECT some_field FROM some_table");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['some_field']);
//关闭连接
$pdo=null;

PDO 并不会对 SQL 请求进行转换或者模拟实现并不存在的功能特性;它只是单纯地使用相同的 API 连接不同种类的数据库。

更重要的是,PDO 使你能够安全的插入外部输入(例如 ID)到你的 SQL 请求中而不必担心 SQL 注入的问题。这可以通过使用 PDO 语句和限定参数来实现。

我们来假设一个 PHP 脚本接收一个数字 ID 作为一个请求参数。这个 ID 应该被用来从数据库中取出一条用户记录。下面是一个错误的做法:

<?php
$pdo = new PDO('sqlite:/path/db/users.db');
$pdo->query("SELECT name FROM users WHERE id = " . $_GET['id']); // <-- NO!

这是一段糟糕的代码。你正在插入一个原始的请求参数到 SQL 请求中。这将让被黑客轻松地利用[SQL 注入]方式进行攻击。想一下如果黑客将一个构造的 id 参数通过像 http://domain.com/?id=1%3BDELETE+FROM+users 这样的 URL 传入。这将会使 $_GET[‘id'] 变量的值被设为 1;DELETE FROM users 然后被执行从而删除所有的 user 记录!因此,你应该使用 PDO 限制参数来过滤 ID 输入。

<?php
$pdo = new PDO('sqlite:/path/db/users.db');
$stmt = $pdo->prepare('SELECT name FROM users WHERE id = :id');
$id = filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT); // <-- 首先过滤您的数据 ,对于INSERT,UPDATE等特别重要
$stmt->bindParam(':id', $id, PDO::PARAM_INT); // <-- 通过PDO自动对SQL进行清理
$stmt->execute();

这是正确的代码。它在一条 PDO 语句中使用了一个限制参数。这将对外部 ID 输入在发送给数据库之前进行转义来防止潜在的 SQL 注入攻击。

对于写入操作,例如 INSERT 或者 UPDATE,进行数据过滤并对其他内容进行清理(去除 HTML 标签,Javascript 等等)是尤其重要的。PDO 只会为 SQL 进行清理,并不会为你的应用做任何处理。

mysqli扩展

mysqli基本操作如下:

<?php
$servername = "localhost";
$username = "username";
$password = "password";
// 创建连接
$conn = new mysqli($servername, $username, $password);
// 检测连接
if ($conn->connect_error) {
  die("连接失败: " . $conn->connect_error);
} 
echo "连接成功";
?>

注意在以上面向对象的实例中 $connect_error 是在 PHP 5.2.9 和 5.3.0 中添加的。如果你需要兼容更早版本 请使用以下代码替换:

// 检测连接
if (mysqli_connect_error()) {
  die("数据库连接失败: " . mysqli_connect_error());
}

数据库交互

<ul>
<?php
foreach ($db->query('SELECT * FROM table') as $row) {
  echo "<li>".$row['field1']." - ".$row['field1']."</li>";
}
?>
</ul>

这从很多方面来看都是错误的做法,主要是由于它不易阅读又难以测试和调试。而且如果你不加以限制的话,它会输出非常多的字段。

其实还有许多不同的解决方案来完成这项工作 — 取决于你倾向于 面向对象编程(OOP)还是函数式编程 — 但必须有一些分离的元素。

来看一下最基本的做法:

<?php
function getAllFoos($db) {
  return $db->query('SELECT * FROM table');
}
foreach (getAllFoos($db) as $row) {
  echo "<li>".$row['field1']." - ".$row['field1']."</li>"; 
}

这是一个不错的开头。将这两个元素放入了两个不同的文件于是你得到了一些干净的分离。
创建一个类来放置上面的函数,你就得到了一个「Model」。创建一个简单的.php文件来存放表示逻辑,你就得到了一个「View」。这已经很接近 MVC — 一个大多数框架常用的面向对象的架构。

//foo.php

<?php
$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');
// 使模板可见
include 'models/FooModel.php';
// 实例化类
$fooModel = new FooModel($db);
// Get the list of Foos
$fooList = $fooModel->getAllFoos();
// 显示视图
include 'views/foo-list.php';

//models/FooModel.php

<?php
class FooModel
{
  protected $db;
  public function __construct(PDO $db)
  {
    $this->db = $db;
  }
  public function getAllFoos() {
    return $this->db->query('SELECT * FROM table');
  }
}

//views/foo-list.php

<?php foreach ($fooList as $row): ?>
  <?= $row['field1'] ?> - <?= $row['field1'] ?>
<?php endforeach ?>

许多框架都提供了自己的数据库抽象层,其中一些是设计在 PDO 的上层的。这些抽象层通常将你的请求在 PHP 方法中包装起来,通过模拟的方式来使你的数据库拥有一些之前不支持的功能。这种抽象是真正的数据库抽象,而不单单只是 PDO 提供的数据库连接抽象。这类抽象的确会增加一定程度的性能开销,但如果你正在设计的应用程序需要同时使用 MySQL,PostgreSQL 和 SQLite 时,一点点的额外性能开销对于代码整洁度的提高来说还是很值得的。

希望本文所述对大家PHP程序设计有所帮助。

PHP 相关文章推荐
模拟xcopy的函数
Oct 09 PHP
php 文件夹删除、php清除缓存程序
Aug 25 PHP
php htmlspecialchars加强版
Feb 16 PHP
PHP CURL获取cookies模拟登录的方法
Nov 04 PHP
php自动识别文字编码并转换为目标编码的方法
Aug 08 PHP
PHP+Ajax实现的无刷新分页功能详解【附demo源码下载】
Jul 03 PHP
动态表单验证的操作方法和TP框架里面的ajax表单验证
Jul 19 PHP
PHP有序表查找之二分查找(折半查找)算法示例
Feb 09 PHP
PHP _construct()函数讲解
Feb 03 PHP
PHP命名空间用法实例分析
Sep 04 PHP
laravel 5.3 单用户登录简单实现方法
Oct 14 PHP
Laravel 之url参数,获取路由参数的例子
Oct 21 PHP
Smarty模板语法详解
Jul 20 #PHP
Smarty模板变量与调节器实例详解
Jul 20 #PHP
Smarty模板配置实例简析
Jul 20 #PHP
详解PHP 7.4 中数组延展操作符语法知识点
Jul 19 #PHP
php的优点总结 php有哪些优点
Jul 19 #PHP
Yii框架页面渲染操作实例详解
Jul 19 #PHP
Yii2 queue的队列使用详解
Jul 19 #PHP
You might like
PHP下载远程文件到本地存储的方法
2015/03/24 PHP
PHP面向对象程序设计之接口的继承定义与用法详解
2018/12/20 PHP
Thinkphp5框架实现图片、音频和视频文件的上传功能详解
2019/08/27 PHP
PHP连接SQL server数据库测试脚本运行实例
2020/08/24 PHP
IE7提供XMLHttpRequest对象为兼容
2007/03/08 Javascript
JavaScript 学习笔记(十四) 正则表达式
2010/01/22 Javascript
Microsoft Ajax Minifier 压缩javascript的方法
2010/03/05 Javascript
jQuery的实现原理的模拟代码 -2 数据部分
2010/08/01 Javascript
解析javascript 实用函数的使用详解
2013/05/10 Javascript
利用cookie记住背景颜色示例代码
2013/11/04 Javascript
javascript:json数据的页面绑定示例代码
2014/01/26 Javascript
AngularJS自定义插件实现网站用户引导功能示例
2016/11/07 Javascript
Angular.js自定义指令学习笔记实例
2017/02/24 Javascript
微信小程序 按钮滑动的实现方法
2017/09/27 Javascript
vue2.0s中eventBus实现兄弟组件通信的示例代码
2017/10/25 Javascript
vue axios 表单提交上传图片的实例
2018/03/16 Javascript
解决node.js含有%百分号时发送get请求时浏览器地址自动编码的问题
2019/11/20 Javascript
WebStorm中如何将自己的代码上传到github示例详解
2020/10/28 Javascript
Python使用turtule画五角星的方法
2015/07/09 Python
django2 快速安装指南分享
2018/01/05 Python
python SMTP实现发送带附件电子邮件
2018/05/22 Python
python实现超简单的视频对象提取功能
2018/06/04 Python
Python 移动光标位置的方法
2019/01/20 Python
HTML5: Web 标准最巨大的飞跃
2008/10/17 HTML / CSS
HTML5 视频播放(video),JavaScript控制视频的实例代码
2018/10/08 HTML / CSS
Trip.com澳大利亚:在线旅行社
2019/12/01 全球购物
美国家用和厨房电器销售网站:Appliances Connection
2020/01/24 全球购物
美国婴儿和儿童服装购物网站:PatPat
2020/10/01 全球购物
小学语文教学反思
2014/02/10 职场文书
2014元旦晚会策划方案
2014/02/19 职场文书
小学教师评语大全
2014/04/23 职场文书
2015年教研室工作总结范文
2015/05/23 职场文书
新员工试用期工作总结2015
2015/05/28 职场文书
尊师重教主题班会
2015/08/14 职场文书
MySQL磁盘碎片整理实例演示
2022/04/03 MySQL
SpringBoot前端后端分离之Nginx服务器下载安装过程
2022/08/14 Servers