PHP PDO操作总结
0x01:测试PDO是否安装成功
运行如下代码,如果提示参数错误,说明PDO已经安装,如果说明对象不存在,则修改PHP配置文件php.ini,取消php_pdo_yourssqlserverhere.extis前面的注释。
$test=new PDO();
0x02:连接数据库
运行Apache服务器,确定服务器已经运行并且PDO安装成功,那么下面我们就来连接数据库吧。
$dsn = 'mysql:dbname=demo;host=localhost;port=3306';
$username = 'root';
$password = 'password_here';
try {
$db = new PDO($dsn, $username, $password);
} catch(PDOException $e) {
die('Could not connect to the database:
' . $e);
}
0x03:基本查询
在PDO中使用query和exec两种方法使得对数据库查询变得非常简单。如果你想得到查询结果的行数exec是非常好用的,因此对SELECT查询语句是非常有用的。
$statement = <<<SQL
SELECT *
FROM `foods`
WHERE `healthy` = 0
SQL;
$foods = $db->query($statement);
如果上面的查询是正确的,则$foods现在是一个PDO Statement对象,我们可以从这个对象中获取我们需要的结果和一共查询到了多少结果集。
0x04:获取行数
如果利用的是Mysql数据库,PDO Statement中包含了一个rowCount的方法可以获取结果集中的行数,如下代码所示:
echo $foods->rowCount;
0x05:遍历结果集
PDO Statment可以使用forech语句进行遍历,如下面代码所示:
foreach($foods->FetchAll() as $food) {
echo $food['name'] . '
';
}
PDO也支持Fetch方法,这个方法只返回第一条结果。
0x06:转义用户输入的特殊字符
PDO提供了一个方法叫做quote,这个方法可以把输入字符串中带有引号的地方进行特殊字符转义。
$input= this is's' a '''pretty dange'rous str'ing
使用quote方法转移后:
$db->quote($input): 'this is\'s\' a \'\'\'pretty dange\'rous str\'ing'
0x07:exec()
PDO可以使用exec()方法实现UPDATE,DELETE和INSERT 操作,执行后它会返回受影响行数的数量:
$statement = <<<SQL
DELETE FROM `foods`
WHERE `healthy` = 1;
SQL;
echo $db->exec($statement);
0x08:预处理语句
尽管exec方法和查询在PHP中仍然被大量使用和支持,但是PHP官网上还是要求大家用预处理语句的方式来替代。为什么呢?主要是因为:它更安全。预处理语句不会直接在实际查询中插入参数,这就避免了许多潜在的SQL注入。
然而出于某种原因,PDO实际上并没有真正的使用预处理,它是在模拟预处理方式,在将语句传给SQL服务器之前会把参数数据插入到语句中,这使得某些系统容易受到SQL注入。
