PHP使用PDO、mysqli扩展实现与数据库交互操作详解


Posted in PHP onJuly 20, 2019

本文实例讲述了PHP使用PDO、mysqli扩展实现与数据库交互操作。分享给大家供大家参考,具体如下:

数据库

在我们开发php时,可能有人已经学习了php数据库的连接交互,也可能正准备学习。如今,按照php的发展趋势,mysql扩展已经停止开发,在以后的发展中可能被淘汰,如mysql->query(),mysql->connect()等以后可能就无法使用。所以我们要尽量使用PDO和mysqli扩展。

PDO

基本操作如下:

<?php
// PDO + MySQL
$servername = "localhost";
$username = "username";
$password = "password";
try{
  $pdo = new PDO('mysql:host=$servername;dbname=myDB', '$username',
   '$password');
  echo '连接成功';
}
catch(PDOExcepton $e){
  echo $e->getMessge();
}
$statement = $pdo->query("SELECT some_field FROM some_table");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['some_field']);
// PDO + SQLite
$pdo = new PDO('sqlite:/path/db/foo.sqlite');
$statement = $pdo->query("SELECT some_field FROM some_table");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['some_field']);
//关闭连接
$pdo=null;

PDO 并不会对 SQL 请求进行转换或者模拟实现并不存在的功能特性;它只是单纯地使用相同的 API 连接不同种类的数据库。

更重要的是,PDO 使你能够安全的插入外部输入(例如 ID)到你的 SQL 请求中而不必担心 SQL 注入的问题。这可以通过使用 PDO 语句和限定参数来实现。

我们来假设一个 PHP 脚本接收一个数字 ID 作为一个请求参数。这个 ID 应该被用来从数据库中取出一条用户记录。下面是一个错误的做法:

<?php
$pdo = new PDO('sqlite:/path/db/users.db');
$pdo->query("SELECT name FROM users WHERE id = " . $_GET['id']); // <-- NO!

这是一段糟糕的代码。你正在插入一个原始的请求参数到 SQL 请求中。这将让被黑客轻松地利用[SQL 注入]方式进行攻击。想一下如果黑客将一个构造的 id 参数通过像 http://domain.com/?id=1%3BDELETE+FROM+users 这样的 URL 传入。这将会使 $_GET[‘id'] 变量的值被设为 1;DELETE FROM users 然后被执行从而删除所有的 user 记录!因此,你应该使用 PDO 限制参数来过滤 ID 输入。

<?php
$pdo = new PDO('sqlite:/path/db/users.db');
$stmt = $pdo->prepare('SELECT name FROM users WHERE id = :id');
$id = filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT); // <-- 首先过滤您的数据 ,对于INSERT,UPDATE等特别重要
$stmt->bindParam(':id', $id, PDO::PARAM_INT); // <-- 通过PDO自动对SQL进行清理
$stmt->execute();

这是正确的代码。它在一条 PDO 语句中使用了一个限制参数。这将对外部 ID 输入在发送给数据库之前进行转义来防止潜在的 SQL 注入攻击。

对于写入操作,例如 INSERT 或者 UPDATE,进行数据过滤并对其他内容进行清理(去除 HTML 标签,Javascript 等等)是尤其重要的。PDO 只会为 SQL 进行清理,并不会为你的应用做任何处理。

mysqli扩展

mysqli基本操作如下:

<?php
$servername = "localhost";
$username = "username";
$password = "password";
// 创建连接
$conn = new mysqli($servername, $username, $password);
// 检测连接
if ($conn->connect_error) {
  die("连接失败: " . $conn->connect_error);
} 
echo "连接成功";
?>

注意在以上面向对象的实例中 $connect_error 是在 PHP 5.2.9 和 5.3.0 中添加的。如果你需要兼容更早版本 请使用以下代码替换:

// 检测连接
if (mysqli_connect_error()) {
  die("数据库连接失败: " . mysqli_connect_error());
}

数据库交互

<ul>
<?php
foreach ($db->query('SELECT * FROM table') as $row) {
  echo "<li>".$row['field1']." - ".$row['field1']."</li>";
}
?>
</ul>

这从很多方面来看都是错误的做法,主要是由于它不易阅读又难以测试和调试。而且如果你不加以限制的话,它会输出非常多的字段。

其实还有许多不同的解决方案来完成这项工作 — 取决于你倾向于 面向对象编程(OOP)还是函数式编程 — 但必须有一些分离的元素。

来看一下最基本的做法:

<?php
function getAllFoos($db) {
  return $db->query('SELECT * FROM table');
}
foreach (getAllFoos($db) as $row) {
  echo "<li>".$row['field1']." - ".$row['field1']."</li>"; 
}

这是一个不错的开头。将这两个元素放入了两个不同的文件于是你得到了一些干净的分离。
创建一个类来放置上面的函数,你就得到了一个「Model」。创建一个简单的.php文件来存放表示逻辑,你就得到了一个「View」。这已经很接近 MVC — 一个大多数框架常用的面向对象的架构。

//foo.php

<?php
$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');
// 使模板可见
include 'models/FooModel.php';
// 实例化类
$fooModel = new FooModel($db);
// Get the list of Foos
$fooList = $fooModel->getAllFoos();
// 显示视图
include 'views/foo-list.php';

//models/FooModel.php

<?php
class FooModel
{
  protected $db;
  public function __construct(PDO $db)
  {
    $this->db = $db;
  }
  public function getAllFoos() {
    return $this->db->query('SELECT * FROM table');
  }
}

//views/foo-list.php

<?php foreach ($fooList as $row): ?>
  <?= $row['field1'] ?> - <?= $row['field1'] ?>
<?php endforeach ?>

许多框架都提供了自己的数据库抽象层,其中一些是设计在 PDO 的上层的。这些抽象层通常将你的请求在 PHP 方法中包装起来,通过模拟的方式来使你的数据库拥有一些之前不支持的功能。这种抽象是真正的数据库抽象,而不单单只是 PDO 提供的数据库连接抽象。这类抽象的确会增加一定程度的性能开销,但如果你正在设计的应用程序需要同时使用 MySQL,PostgreSQL 和 SQLite 时,一点点的额外性能开销对于代码整洁度的提高来说还是很值得的。

希望本文所述对大家PHP程序设计有所帮助。

PHP 相关文章推荐
PHP下判断网址是否有效的代码
Oct 08 PHP
php操作JSON格式数据的实现代码
Dec 24 PHP
关于shopex同步ucenter的redirect问题,导致script不运行
Apr 10 PHP
PHP中session变量的销毁
Feb 27 PHP
php按百分比生成缩略图的代码分享
May 10 PHP
PHP中使用addslashes函数转义的安全性原理分析
Nov 03 PHP
php学习笔记之基础知识
Nov 08 PHP
PHP实现的简单三角形、矩形周长面积计算器分享
Nov 18 PHP
浅析php静态方法与非静态方法的用法区别
May 17 PHP
CI框架实现框架前后端分离的方法详解
Dec 30 PHP
解决出现SoapFault (looks like we got no XML document)的问题
Jun 24 PHP
laravel 数据验证规则详解
Oct 23 PHP
Smarty模板语法详解
Jul 20 #PHP
Smarty模板变量与调节器实例详解
Jul 20 #PHP
Smarty模板配置实例简析
Jul 20 #PHP
详解PHP 7.4 中数组延展操作符语法知识点
Jul 19 #PHP
php的优点总结 php有哪些优点
Jul 19 #PHP
Yii框架页面渲染操作实例详解
Jul 19 #PHP
Yii2 queue的队列使用详解
Jul 19 #PHP
You might like
第1次亲密接触PHP5(1)
2006/10/09 PHP
php设计模式 Builder(建造者模式)
2011/06/26 PHP
PHP判断远程url是否有效的几种方法小结
2011/10/08 PHP
PHP扩展开发入门教程
2015/02/26 PHP
php从数据库查询结果生成树形列表的方法
2015/04/17 PHP
自动完成JS类(纯JS, Ajax模式)
2009/03/12 Javascript
ajax上传时参数提交不更新等相关问题
2012/12/11 Javascript
利用javascript实现web页面中指定区域打印
2013/10/30 Javascript
js形成页面的一种遮罩效果实例代码
2014/01/04 Javascript
JS中数组Array的用法示例介绍
2014/02/20 Javascript
原生javascript获取元素样式
2014/12/31 Javascript
jQuery使用empty()方法删除元素及其所有子元素的方法
2015/03/26 Javascript
jQuery四种选择器使用及示例
2016/06/05 Javascript
扩展Bootstrap Tooltip插件使其可交互的方法
2016/11/07 Javascript
ionic2 tabs使用 Modal底部tab弹出框
2016/12/30 Javascript
JS获取浮动(float)元素的style.left值为空的快速解决办法
2017/02/19 Javascript
让div运动起来 js实现缓动效果
2017/07/06 Javascript
Django中使用jquery的ajax进行数据交互的实例代码
2017/10/15 jQuery
json前后端数据交互相关代码
2018/09/19 Javascript
详解处理Vue单页面应用SEO的另一种思路
2018/11/09 Javascript
微信小程序自定义导航栏
2018/12/31 Javascript
javascript中可能用得到的全部的排序算法
2020/03/05 Javascript
Python实现遍历目录的方法【测试可用】
2017/03/22 Python
python 实现上传图片并预览的3种方法(推荐)
2017/07/14 Python
Python及PyCharm下载与安装教程
2017/11/18 Python
python pandas修改列属性的方法详解
2018/06/09 Python
numpy数组广播的机制
2019/07/12 Python
Numpy数组的广播机制的实现
2020/11/03 Python
css3之UI元素状态伪类选择器实例演示
2017/08/11 HTML / CSS
Alba Moda德国网上商店:意大利时尚女装销售
2016/11/14 全球购物
Rodd & Gunn澳大利亚官网:新西兰男装品牌
2018/09/25 全球购物
Contém1g官网:巴西彩妆品牌
2020/01/17 全球购物
幼师自我鉴定范文
2013/10/01 职场文书
入党积极分子学习优秀共产党员先进事迹思想汇报
2014/09/13 职场文书
python析构函数用法及注意事项
2021/06/22 Python
mysql备份策略的实现(全量备份+增量备份)
2021/07/07 MySQL