PDO 指南

oschina發表於2013-08-14

 簡介

  前面我們已經見過MySQLi了,現在我們一起來看看PDO類。PDO是PHP Data Objects的縮寫,它被描述為“在PHP中訪問資料庫的輕量級,相容性的介面”。儘管它的名字不咋好聽,但PDO是一個在PHP中訪問資料庫會讓人喜愛的方式。

 與MySQLi的不同

  MySQLi和PDO很相似,都有兩方面主要區別:

  1.MySQLi只能訪問MySQL,但PDO可以訪問12種不同的資料庫

  2.PDO沒有普通函式呼叫(mysqli_*functions)

 開始步驟

  首先,你得確定一下你的PHP是否安裝了PDO外掛。你可以用$test=new PDO()的結果來測試。如果提示說是引數不匹配,那證明已經安裝了PDO外掛,如果說是物件不存在,你得先確認一下在pho.ini中php_pdo_yourssqlserverhere.extis是否被註釋掉了。如果沒有這句話,那你得安裝PDO了,這裡就不囉嗦了。

  連線

  現在我們確認伺服器已經工作,開始連線資料庫吧:

$dsn = 'mysql:dbname=demo;host=localhost;port=3306';
$username = 'root';
$password = 'password_here';
try {
    $db = new PDO($dsn, $username, $password); // also allows an extra parameter of configuration
} catch(PDOException $e) {
    die('Could not connect to the database:<br/>' . $e);
}

  除$dsn之外,所有語句和變數都能自我解釋。DSN指的是資料來源名稱,有多種輸入型別。最常見的一種是我們剛剛用的這種,PHP官網解釋了 其他可用的DSN 

  你可以省去DSN的其他額外引數,只需要在資料庫驅動後面帶個冒號,比如(mysql:)。在這種情況下PDO將會嘗試連線到本地資料庫。就像當你使用MySQLi時需要在查詢中指定資料庫名稱一樣。

  最後一件你需要注意的事情就是我們用try-catch塊包裹了我們的初始化物件。PDO連線失敗的時候將會丟擲PDOException異常而不是查詢失敗的時候。如果你願意你可以使用下面程式碼$db=line來選擇異常的模式。

$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

  或者你可以直接在PDO初始化時傳遞引數:

$db = new PDO($dsn, $username, $password, array (
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
));

  我們現在使用的是錯誤的方式——在失敗時候簡單返回false,我們是沒有理由不對異常進行處理的。

 基本查詢

  在PDO中使用query和exec兩種方法使得對資料庫查詢變得非常簡單。如果你想得到查詢結果的行數exec是非常好用的,因此對SELECT查詢語句是非常有用的。

  現在我們通過下面的一個例子檢視這兩種方法:

$statement = <<<SQL
    SELECT *
    FROM `foods`
    WHERE `healthy` = 0
SQL;

$foods = $db->query($statement);

  假設我們的查詢是正確的,$foods現在是一個PDO Statement物件,我們可以用它獲取到我們的結果或者是檢視這次查詢中一共查到多少條結果集。

 行數

  不足的是,PDO沒有提供一個統一的方法去計算返回的行數。PDO Statement包含了一個叫做rowCount的方法,但是這個方法卻不能保證在每一個SQL驅動中起作用(幸運的是,它能夠在Mysql資料庫中起作用)。

  如果你的SQL驅動不支援這個方法,你也有2個選擇:使用二次查詢(SELECT COUNT(*))或者使用簡單的count($foods)得到行數。

  幸運的是對我們的MySQL例子,我們可以使用下面的簡單方法來輸出正確的行數。

echo $foods->rowCount();

 遍歷結果集

  列印出這些可口的食物一點也不困難:

foreach($foods->FetchAll() as $food) {
    echo $food['name'] . '<br />';
}

  唯一需要注意的是PDO也支援Fetch方法,這個方法只會返回第一條結果,這對於只需要查詢一條結果集是非常有用的。

 轉義使用者輸入(的特殊字元)

  你可曾聽說過(mysqli_)real_escape_string,這是用於確保使用者輸入安全資料。PDO提供了一個方法叫做quote,這個方法可以把輸入字串中帶有引號的地方進行特殊字元轉義。

$input: this is's' a '''pretty dange'rous str'ing

  在轉義後,最終得到下面結果:

$db->quote($input): 'this is\'s\' a \'\'\'pretty dange\'rous str\'ing'

 exec()

  正如上面提到的,你可以使用exec()方法實現UPDATE,DELETE和INSERT 操作,執行後它會返回受影響行數的數量:

$statement = <<<SQL
    DELETE FROM `foods`
    WHERE `healthy` = 1;
SQL;

echo $db->exec($statement); // outputs number of deleted rows

 預處理語句

  儘管exec方法和查詢在PHP中仍然被大量使用和支援,但是PHP官網上還是要求大家用預處理語句的方式來替代。為什麼呢?主要是因為:它更安全。預處理語句不會直接在實際查詢中插入引數,這就避免了許多潛在的SQL隱碼攻擊。

  然而出於某種原因,PDO實際上並沒有真正的使用預處理,它是在模擬預處理方式,在將語句傳給SQL伺服器之前會把引數資料插入到語句中,這使得某些系統容易受到SQL隱碼攻擊。

  如果你的SQL伺服器不真正的支援預處理,我們可以很容易的通過如下方式在PDO初始化時傳參來修復這個問題:

$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

  接下來開始我們的第一個預處理語句吧:

$statement = $db->prepare('SELECT * FROM foods WHERE `name`=? AND `healthy`=?');
$statement2 = $db->prepare('SELECT * FROM foods WHERE `name`=:name AND `healthy`=:healthy)';

  正如你所見,有兩種建立引數的方法,命名的與匿名的(不可以同時出現在一個語句中)。然後你可以使用bindValue來敲進你的輸入:

$statement->bindValue(1, 'Cake');
$statement->bindValue(2, true);

$statement2->bindValue(':name', 'Pie');
$statement2->bindValue(':healthy', false);

  注意使用命名引數的時候你要包含進冒號(:)。PDO還有一個bindParam方法,可以通過引用繫結數值,也就是說它只在語句執行的時候查詢相應數值。

  現在剩下的唯一要做的事情,就是執行我們的語句:

$statement->execute();
$statement2->execute();

// Get our results:
$cake = $statement->Fetch();
$pie  = $statement2->Fetch();

  為了避免只使用bindValue帶來的程式碼碎片,你可以用陣列給execute方法作為引數,像這樣:

$statement->execute(array(1 => 'Cake', 2 => true));
$statement2->execute(array(':name' => 'Pie', ':healthy' => false));

 事務

  前面我們已經描述過了什麼是事務:

  一個事務就是執行一組查詢,但是並不儲存他們的影響到資料庫中。這樣做的好處是如果你執行了4條相互依賴的插入語句,當有一條失敗後,你可以回滾使得其他的資料不能夠插入到資料庫中,確保相互依賴的欄位能夠正確的插入。你需要確保你使用的資料庫引擎支援事務。

 開啟事務

  你可以很簡單的使用beginTransaction()方法開啟一個事務:

$db->beginTransaction();

$db->inTransaction(); // true!

  然後你可以繼續執行你的資料庫操作語句,在最後提交事務:

$db->commit();

  還有類似MySQLi中的rollBack()方法,但是它並不是回滾所有的型別(例如在MySQL中使用DROP TABLE),這個方法並不是真正的可靠,我建議儘量避免依賴此方法。

 其他有用的選項

  有幾個選項你可以考慮用一下。這些可以作為你的物件初始化時候的第四個引數輸入。

$options = array($option1 => $value1, $option[..]);
$db = new PDO($dsn, $username, $password, $options);

  PDO::ATTR_DEFAULT_FETCH_MODE

  你可以選擇PDO將返回的是什麼型別的結果集,如PDO::FETCH_ASSOC,會允許你使用$result['column_name'],或者PDO::FETCH_OBJ,會返回一個匿名物件,以便你使用$result->column_name

  你還可以將結果放入一個特定的類(模型),可以通過給每一個單獨的查詢設定一個讀取模式,就像這樣:

$query = $db->query('SELECT * FROM `foods`');
$foods = $query->fetchAll(PDO::FETCH_CLASS, 'Food');

- 所有讀取模式

  PDO::ATTR_ERRMODE

  上面我們已經解釋過這一條了,但喜歡TryCatch的人需要用到:PDO::ERRMODE_EXCEPTION。如果不論什麼原因你想丟擲PHP警告,就使用PDO::ERRMODE_WARNING。

  PDO::ATTR_TIMEOUT

  當你為載入時間而著急時,你可以使用此屬性來為你的查詢指定一個超時時間,單位是秒. 注意,如果超過你設定的時間,預設會丟擲E_WARNING異常, 除非 PDO::ATTR_ERRMODE 被改變.

  更多屬性資訊可以在 PHP官網的屬性設定 裡檢視到.

 最後的思考

  PDO是一個在PHP中訪問你的資料庫的很棒的方式,可以認為是最好的方式。除非你拒絕使用物件導向的方法或是太習慣 MySQLi 的方法名稱,否則沒有理由不使用PDO。

  更好的是完全切換到只使用預處理語句,這最終將使你的生活更輕鬆!

  英文來源:http://codular.com/php-pdo-how-to

相關文章