PHP PDO总结

Yang2523
1,795 阅读3分钟

定义

PDO —— PHP 数据对象(PHP Data Object)的缩写,作为一个为多种数据库提供统一的连接接口的方式 PDO 底层需要配合对应数据库的 PDO 数据驱动来操作数据库。PDO 是当今PHP官方推荐的数据库连接方式,其优势在于:

1、PDO 真正的以底层实现的统一接口数库操作接口,不管后端使用的是何种数据库,如果代码封装好了以后,应用层调用基本上差不多的,当后端数据库更换了以后,应用层代码基本不用修改.

2、PDO 支持更高级的 DB 特性操作,如:存储过程的调度等, mysql 原生库是不支持的.

3、PDO 是 PHP 官方的 PECL 库,兼容性稳定性必然要高于 MySQL Extension,可以直接使用 pecl upgrade pdo 命令升级.

4、PDO 可以防止 SQL 注入,确保数据库更加安全 PDO 防止 SQL 注入的原理

在 PHP 5.1.0 之后 PDO 默认开启状态 你可以通过 phpinfo()函数来查看 PDO 的开启状态:

PDO状态

连接(以 MYSQL 为例)

1、实例化一个 PDO 对象

<?php
$dbh=new PDO('mysql:host=localhost;dbname=sakila','root','');

这里第一个参数我们指定 PDO 的驱动类型为 mysql , mysql 的 host 地址和连接的数据库名称,第二三个参数为用户名密码

2、基本的查询 这里我们以 mysql 官方提供的 sakila 数据库的 language 表来测试:

language

<?php
try{
    $dbh=new PDO('mysql:host=localhost;dbname=sakila','root','');
    foreach($dbh->query('SELECT * from language') as $row) {
        print_r($row);
    }
}catch (PDOException $e){
    print "Error ! : ".$e->getMessage();
    die();
}

运行结果如下:

query1

PDO 预处理

当我们使用数据库执行查询时,数据库管理系统( DBMS )会对查询进行编译,优化查询,而使用 PDO 预处理可以使这个过程只在首次查询的时候进行,在后续的相同的查询只需要对绑定的参数进行替换,这样就节省了重复编译的时间,另外使用 PDO 参数绑定还可以避免 SQL 注入等安全性问题。

代码演示:

<?php
try{
    $dbh=new PDO('mysql:host=localhost;dbname=testDB','root','');
    $stmt=$dbh->prepare("INSERT users (user_name,sex) VALUES (:user_name,:sex)");

    $stmt->bindParam(':user_name',$name);
    $stmt->bindParam(":sex",$sex);

    //插入一行
    $name="yang001";
    $sex="M";
    $stmt->execute();

    //再次插入一行
    $name="yang002";
    $sex="F";
    $stmt->execute();

}catch (PDOException $e){
    print "Error ! : ".$e->getMessage();
    die();
}

查看数据库结果如下:

PDO prepare

我们使用预处理的查询语句来取出结果:

<?php
try{
    $dbh=new PDO('mysql:host=localhost;dbname=testDB','root','');
    $stmt=$dbh->prepare("SELECT * FROM users WHERE user_name=:user_name ");

    $stmt->bindParam(':user_name',$name);

    //插入一行
    $name="yang001";
    if($stmt->execute()){
        while ($row=$stmt->fetch(PDO::FETCH_ASSOC)){
            print_r($row);
        }
    }


}catch (PDOException $e){
    print "Error ! : ".$e->getMessage();
    die();
}

结果如下:

PDO_Prepare_Query

关于 bindParam 的使用需要注意的一个地方

需要注意的是 bindParam 的第二个参数是引用参数,而 execute() 执行是属于延时执行,也就是等所有参数都绑定好之后再进行执行,这里有一种情况就是在foreach中传参会引发的引用值覆盖的问题。这个问题的来源来自鸟哥的这篇博客。根据这篇博客尝试一下重现这个错误:

<?php
$dbh=new PDO('mysql:host=localhost;dbname=test','root','');
$query = <<<QUERY
INSERT INTO `users` (`username`, `password`) VALUES (:username, :password);
QUERY;

$statement=$dbh->prepare($query);

$bind_params=array(':username'=>'laruence',':password'=>'weibo');
foreach($bind_params as $key=>$value)
{
    $statement->bindParam($key,$value);
}

$statement->execute();

执行

$ php pdo.php

查看数据表的内容

第一次插入数据表

从结果我们可以看到出现了博客中所描述的异常:我们本想 INSERT 的 username 明明是 laruence 却变成了我们绑定的 password的值。问题的原因是什么呢?鸟哥解释为:

究其原因, 也就是bindParam和bindValue的不同之处, bindParam要求第二个参数是一个引用变量(reference).

把上面的代码的foreach拆开, 也就是这个foreach:

<?php
foreach( $bind_params as $key => $value ){
    $statement->bindParam($key, $value);
}

相当于:

<?php
//第一次循环
$value = $bind_params[":username"];
$statement->bindParam(":username", &$value); //此时, :username是对$value变量的引用
 
//第二次循环
$value = $bind_params[":password"]; //oops! $value被覆盖成了:password的值
$statement->bindParam(":password", &$value);

注:貌似 PHP 取消了引用类型的参数 需要加&符号的规定(好像有点坑 -_-!)

因为bindParam()函数的第二个参数是引用类型参数,而在foreach循环中对$value的赋值覆盖会导致&$value这个引用指向的内容被覆盖。

关于如何解决这个问题,建议为:

  1. (推荐)在有引用类型参数传递的时候尽量避免使用foreach()
  2. 使用bindValue代替bindParam, 或者直接在 execute中传递整个参数数组.
  3. 使用foreachreference(不推荐)foreach( $bind_params as $key => &$value )这又是另外的一个坑。
  4. $stmt->bindParam($key, $bind_params[$key]);

结语

PDO 还有操作存储过程等功能,但是一般现在不推荐使用存储过程,此处不再总结。

参考文献:

鸟哥博客: PDOStatement::bindParam的一个陷阱

avatar
文章
阅读
粉丝