PHP使用PDO、mysqli扩展实现与数据库交互操作详解

本文实例讲述了php使用pdo、mysqli扩展实现与数据库交互操作。分享给大家供大家参考，具体如下：

数据库

在我们开发php时，可能有人已经学习了php数据库的连接交互，也可能正准备学习。如今，按照php的发展趋势，mysql扩展已经停止开发，在以后的发展中可能被淘汰，如mysql->query(),mysql->connect()等以后可能就无法使用。所以我们要尽量使用pdo和mysqli扩展。

pdo

基本操作如下：

<?php// pdo + mysql$rvername = "localhost";$urname = "urname";尧舜禹是什么时期$password = "password";try{  $pdo = new pdo('mysql:host=$rvername;dbname=mydb', '$urname',   '$password');  echo '连接成功'；}catch(pdoexcepton $e){  echo $e->getmessge();}$statement = $pdo->query("lect some_field from some_table");$row = $statement-&g大专毕业证t;fetch(pdo::fetch_assoc);echo htmlentities($row['some_field']);// pdo + sqlite$pd奶花豆o = new pdo('sqlite:/path/db/foo.sqlite');$statement = $pdo->query("lect some_field from some_table");$row = $statement->fetch(pdo::fetch_assoc);echo htmlentities($row['some_field']);//关闭连接$pdo=null;

pdo 并不会对 sql 请求进行转换或者模拟实现并不存在的功能特性；它只是单纯地使用相同的 api 连接不同种类的数据库。

更重要的是，pdo 使你能够安全的插入外部输入(例如 id)到你的 sql 请求中而不必担心 sql 注入的问题。这可以通过使用 pdo 语句和限定参数来实现。

我们来假设一个 php 脚本接收一个数字 id 作为一个请求参数。这个 id 应该被用来从数据库中取出一条用户记录。下面是一个错误的做法：

<?php$pdo = new pdo('sqlite:/path/db/urs.db');$pdo->query("lect name from urs where id = " . $_get['id']); // <-- no!

这是一段糟糕的代码。你正在插入一个原始的请求参数到 sql 请求中。这将让被黑客轻松地利用[sql 注入]方式进行攻击。想一下如果黑客将一个构造的 id 参数通过像 /d/file/titlepic/id=1%3bdelete+from+urs 这样的 url 传入。这将会使 $_get[‘id’] 变量的值被设为 1;delete from urs 然后被执行从而删除所有的 ur 记录！因此，你应该使用 pdo 限制参数来过滤 id 输入。

<?php$pdo = new pdo('sqlite:/path/db/urs.db');$stmt = $pdo->prepare('lect name from urs where id = :id');$id = filter_input(input_get, 'id', filter_sanitize_number_int); // <-- 首先过滤您的数据 ，对于inrt，update等特别重要$stmt->bindparam(':id', $id, pdo::param_int); // <-- 通过pdo自动对sql进行清理$stmt->execute();

这是正确的代码。它在一条 pdo 语句中使用了一个限制参数。这将对外部 id 输入在发送给数据库之前进行转义来防止潜在的 sql 注入攻击。

对于写入操作，例如 inrt 或者 update，进行数据过滤并对其他内容进行清理（去除 html 标签，javascript 等等）是尤其重要的。pdo 只会为 sql 进行清理，并不会为你的应用做任何处理。

mysqli扩展

mysqli基本操作如下：

<?php$rvername = "localhost";$urname = "urname";$password = "password";// 创建连接$conn = new mysqli($rvername, $urname, $password);// 检测连接if ($conn->connect_error) {  die("连接失败: " . $conn->connect_error);} echo "连接成功";?>

注意在以上面向对象的实例中 $connect_error 是在 php 5.2.9 和 5.3.0 中添加的。如果你需要兼容更早版本 请使用以下代码替换:

// 检测连接if (mysqli_connect_error()) {  die("数据库连接失败: " . mysqli_connect_error());}

数据库交互

<ul>鲁班发明了什么东西;<?phpforeach ($db->query('lect * from table') as $row) {  echo "<li>".$row['field1']." - ".$row['field1']."</li>";}?></ul>

这从很多方面来看都是错误的做法，主要是由于它不易阅读又难以测试和调试。而且如果你不加以限制的话，它会输出非常多的字段。

其实还有许多不同的解决方案来完成这项工作 — 取决于你倾向于 面向对象编程（oop）还是函数式编程 — 但必须有一些分离的元素。

来看一下最基本的做法：

<?phpfunction getallfoos($db) {  return $db->query('lect * from table');}foreach (getallfoos($db) as $row) {  echo "<li>".$row['field1']." - ".$row['field1']."</li>"; }

这是一个不错的开头。将这两个元素放入了两个不同的文件于是你得到了一些干净的分离。
创建一个类来放置上面的函数，你就得到了一个「model」。创建一个简单的.php文件来存放表示逻辑，你就得到了一个「view」。这已经很接近 mvc — 一个大多数框架常用的面向对象的架构。

//foo.php

<?php$db = new pdo('mysql:host=localhost;dbname=testdb;chart=utf8', 'urname', 'password');// 使模板可见include 'models/foomodel.php';// 实例化类$foomodel = new foomodel($db);// get the list of foos$foolist = $foomodel->getallfoos();// 显示视图include 'views/foo-list.php';

//models/foomodel.p电扇维修hp

<?phpclass foomodel{  protected $db;  public function __construct(pdo $db)  {    $this->db = $db;  }  public function getallfoos() {    return $this->db->query('lect * from table');  }}

//views/foo-list.php

<?php foreach ($foolist as $row): ?>  <?= $row['field1'] ?> - <?= $row['field1'] ?><?php endforeach ?>

许多框架都提供了自己的数据库抽象层，其中一些是设计在 pdo 的上层的。这些抽象层通常将你的请求在 php 方法中包装起来，通过模拟的方式来使你的数据库拥有一些之前不支持的功能。这种抽象是真正的数据库抽象，而不单单只是 pdo 提供的数据库连接抽象。这类抽象的确会增加一定程度的性能开销，但如果你正在设计的应用程序需要同时使用 mysql，postgresql 和 sqlite 时，一点点的额外性能开销对于代码整洁度的提高来说还是很值得的。