PHP中的PDO操做學習(三)預處理類及綁定數據
要說 PDO 中最強大的功能,除了爲不一樣的數據庫提供了統一的接口以外,更重要的就是它的預處理能力,也就是 PDOStatement 所提供的功能。由於它的存在,才讓咱們能夠安心地去使用而不用操心 SQL 語句的拼接很差所帶來的安全風險問題。固然,預處理也爲咱們提高了語句的執行效率,能夠說是 PDO 的另外一大殺器。php
PDOStatement 類
PDOStatement 類其實就是表明一條預處理語句,並在該語句被執行後表明一個相關的結果集。它提供一些方法,讓咱們可以對這條預處理語句進行操做。mysql
$dns = 'mysql:host=localhost;dbname=blog_test;port=3306;charset=utf8';
$pdo = new PDO($dns, 'root', '', [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]);
$stmt = $pdo->prepare("select * from zyblog_test_user");
// PDOStatement 對象的內容
var_dump($stmt);
// object(PDOStatement)#2 (1) {
// ["queryString"]=>
// string(57) "select * from zyblog_test_user where username = :username"
// }
PDOStatement 對象是經過 PDO 對象的 prepare() 方法返回的一個對象。它沒有構造函數,也就是說咱們不能直接實例化一個 PDOStatement 對象。它包含一個只讀屬性,也就是咱們要執行的 SQL 語句,保存在 queryString 中。git
PDOStatement 錯誤處理
接下來咱們先看看 PDOStatement 的兩個錯誤信息方法。github
// 沒有指定異常處理狀態下的錯誤信息函數
$pdo_no_exception = new PDO($dns, 'root', '');
$errStmt = $pdo_no_exception->prepare("select * from errtable");
$errStmt->execute();
var_dump($errStmt->errorCode()); // string(5) "42S02"
var_dump($errStmt->errorInfo());
// array(3) {
// [0]=>
// string(5) "42S02"
// [1]=>
// int(1146)
// [2]=>
// string(40) "Table 'blog_test.errtable' doesn't exist"
// }
在以前的文章中,咱們學習過,若是不給 PDO 對象指定錯誤處理格式的話。它會使用返回錯誤碼和錯誤信息的方式處理錯誤。在這種狀況下,若是預處理的語句有問題,咱們就能夠經過 errorCode() 和 errorInfo() 方法來得到錯誤的代碼和錯誤的詳細信息。不過,仍是更加推薦指定 PDO 的錯誤處理方式爲拋出異常,就像最上面咱們定義的 PDO 對象那樣。這樣咱們就能夠經過 try...catch 來處理錯誤異常了。sql
PDOStatement FETCH_MODE 指定
// 爲語句設置默認的獲取模式。
$stmt->setFetchMode(PDO::FETCH_ASSOC);
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
var_dump($row);
}
// array(4) {
// ["id"]=>
// string(1) "1"
// ["username"]=>
// string(3) "aaa"
// ["password"]=>
// string(3) "aaa"
// ["salt"]=>
// string(3) "aaa"
// }
// ……
爲查詢結構指定 FETCH_MODE 是經過 setFetchMode() 方法來實現的。以前咱們也講過,經過 PDO 對象的屬性能夠指定默認的查詢結果集模式,不過在 PDOStatement 中,也能夠經過這個方法來爲當前的這一次預處理語句的查詢指定 FETCH_MODE 。數據庫
PDOStatement 獲取列數量及字段信息
// 返回結果集列數、返回結果集中一列的元數據
$stmt = $pdo->prepare("select * from zyblog_test_user");
$stmt->execute();
var_dump($stmt->columnCount()); // int(4)
var_dump($stmt->getColumnMeta(0));
// array(7) {
// ["native_type"]=>
// string(4) "LONG"
// ["pdo_type"]=>
// int(2)
// ["flags"]=>
// array(2) {
// [0]=>
// string(8) "not_null"
// [1]=>
// string(11) "primary_key"
// }
// ["table"]=>
// string(16) "zyblog_test_user"
// ["name"]=>
// string(2) "id"
// ["len"]=>
// int(11)
// ["precision"]=>
// int(0)
// }
columnCount() 能夠返回咱們當前查詢結果集中的列的數量。關於行的數量得到的方法咱們將在下篇文章中再介紹。數組
getColumnMeta() 方法則是獲取結果集中一列的元數據,它的參數是列的序號,從 1 開始的序號,在這裏咱們獲取的是第一列,也就是 id 列的信息。從打印的結果,能夠看到這個列的名稱、精確度(precisiion)、長度、類型、所屬的表名、屬性(主鍵、非空)這些信息。是否是感受很是有用。不過這個方法是實驗性質的,有可能在將來的 PHP 版本中進行修改,不是正式的固定方法。並且並非全部數據庫鏈接驅動都支持這個方法。安全
PDOStatement 打印出一條預處理語句包含的信息
$stmt = $pdo->prepare("select * from zyblog_test_user where username=? and salt = ?");
$username = 'aaa';
$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindValue(2, 'aaa', PDO::PARAM_STR);
$stmt->execute();
var_dump($stmt->debugDumpParams());
// SQL: [60] select * from zyblog_test_user where username=? and salt = ?
// Sent SQL: [68] select * from zyblog_test_user where username='aaa' and salt = 'aaa'
// Params: 2
// Key: Position #0:
// paramno=0
// name=[0] ""
// is_param=1
// param_type=2
// Key: Position #1:
// paramno=1
// name=[0] ""
// is_param=1
// param_type=2
debugDumpParams() 也是很好玩的一個方法,它直接打印出當前執行的 SQL 語句的信息,注意,它和 var_dump() 、 php_info() 這類函數同樣,是直接打印的,不是將結果返回到一個變量中。還記得咱們怎麼將這種函數的內容保存到變量中嗎?[還搞不懂PHP中的輸出緩衝控制?]()。函數
從打印的結果來看,它能返回真實執行的 SQL 語句以及相關的一些參數信息。對於平常的開發調試來講絕對是一個神器啊。不少小夥伴都會受困於 PDO 預處理的語句若是獲取到真實的執行語句。而這個方法只須要咱們簡單的封裝一下,就能夠從裏面提取出真實的執行語句了哦!學習
兩個 MySQL 擴展不支持的屬性
// MySQL 驅動不支持 setAttribute $stmt->setAttribute(PDO::ATTR_CURSOR, PDO::CURSOR_FWDONLY); // Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support setting attributes // MySQL 驅動不支持 getAttribute var_dump($stmt->getAttribute(PDO::ATTR_AUTOCOMMIT)); // Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support getting attributes
這兩個方法對於 MySQL 擴展驅動來講是不支持的,可是有其它的數據庫是支持的,筆者沒有測試過其它數據庫,你們能夠自行測試一下。
綁定字段
接下來就是重點內容了,在預處理語句中,咱們可使用佔位符來綁定變量,從而達到安全處理查詢語句的做用。經過佔位符,咱們就不用去本身拼裝處理帶單引號的字段內容了,從而避免了 SQL 注入的發生。注意,這裏並非能夠處理全部的 SQL 注入問題,好比字符集問題的 寬字節 注入 。
佔位符包含兩種形式,一種是使用 :xxx 這種形式的名稱佔位符,: 後面的內容能夠是本身定義的一個名稱。另外一種形式就是使用問號佔位符,當使用問號佔位符的時候,咱們綁定的是字段的下標,下標是從 1 開始的,這點是須要注意的地方。咱們直接經過示例來看看。
bindParam
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");
$username = 'ccc';
$passwrod = '333';
$salt = 'c3';
$stmt->bindParam(':username', $username);
$stmt->bindParam(':pass', $password);
$stmt->bindParam(':salt', $salt);
$stmt->execute();
// bindParam 問號佔位符
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");
$username = 'ccc';
$passwrod = '333';
$salt = 'c3';
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);
$stmt->execute();
在這段代碼中,咱們分別使用了兩種形式的佔位符來實現了數據的插入。固然,預處理語句和佔位符是任何操做語句均可以使用的。它的做用就是用綁定的值來替換語句中的佔位符所在位置的內容。不過它只是使用在 values 、 set 、 where 、 order by 、 group by 、 having 這些條件及對字段的操做中,有興趣的同窗能夠試試用佔位符來表示一個表名會是什麼結果。
bindParam() 方法是綁定一個參數到指定的變量名。在這個方法中,綁定的變量是做爲引用被綁定,而且只能是一個變量,不能直接給一個常量。這點咱們在後面講和 bindValue() 的區別時再詳細講解。一些驅動支持調用存儲過程的輸入/輸出操做,也可使用這個方法來綁定,咱們將在後面的文章中講解。
bindValue
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");
$username = 'ddd';
$passwrod = '444';
$salt = 'd4';
$stmt->bindValue(':username', $username);
$stmt->bindValue(':pass', $password);
$stmt->bindValue(':salt', $salt);
$stmt->execute();
咦?它的用法和 bindParam() 同樣呀?沒錯,它們的做用也是同樣的,綁定一個參數到值。注意,這裏是綁定到值,而 bindParam() 是綁定到變量。在正常狀況下,你能夠將它們看做是同樣的操做,可是,其實它們有很大的不一樣,咱們直接就來看它們的區別。
bindParam 和 bindValue 的區別
首先,bindValue() 是能夠綁定常量的。
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");
//$stmt->bindParam(':username', 'ccc');
// Fatal error: Uncaught Error: Cannot pass parameter 2 by reference
$stmt->bindValue(':username', 'ccc');
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
var_dump($row);
}
// array(4) {
// ["id"]=>
// string(2) "19"
// ["username"]=>
// string(3) "ccc"
// ["password"]=>
// string(3) "bbb"
// ["salt"]=>
// string(2) "c3"
// }
// ……
若是咱們使用 bindParam() 來指定第二個參數值爲常量的話,它會直接報錯。bindParam() 的第二個參數是做爲引用類型的變量,不能指定爲一個常量。
其次,由於bindParam() 是以引用方式綁定,它的變量內容是可變的,因此在任何位置定義綁定的變量都不影響它的預處理,而 bindValue() 是定義後就當即將參數進行綁定的,因此下面的代碼使用 bindValue() 是沒法得到結果的($username 在 bindValue() 以後才賦值)。
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");
$stmt->bindValue(':username', $username);
$username = 'ccc';
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
var_dump($row);
}
//
必需要保證變量在 bindValue() 以前被賦值。
$username = 'ccc';
$stmt->bindValue(':username', $username);
固然,bindParam() 就不存在這樣的問題了,咱們能夠在 bindParam() 以後再給它指定的變量賦值。
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");
$stmt->bindParam(':username', $username);
$username = 'ddd';
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
var_dump($row);
}
// array(4) {
// ["id"]=>
// string(1) "8"
// ["username"]=>
// string(3) "ddd"
// ["password"]=>
// string(3) "bbb"
// ["salt"]=>
// string(2) "d4"
// }
// ……
這下對 bindParam() 和 bindValue() 的區別就很是清楚了吧?總結一下:
- bindParam() 必須綁定變量,變量是引用形式的參數,只要在 execute() 以前完成綁定均可以
- bindValue() 能夠綁定常量,若是是綁定的變量,那麼變量賦值要在 bindValue() 語句執行以前完成,不然綁定的就是一個空的數據
bindColumn
這個方法是用於綁定查詢結果集的內容的。咱們能夠將查詢結果集中指定的列綁定到一個特定的變量中,這樣就能夠在 fetch() 或 fetchAll() 遍歷結果集時經過變量來獲得列的值。
這個方法在實際應用中用到的比較少,因此不少小夥伴多是隻聞其名不見其身。咱們仍是經過代碼來看看。
$stmt = $pdo->prepare("select * from zyblog_test_user");
$stmt->execute();
$stmt->bindColumn(1, $id);
$stmt->bindColumn(2, $username, PDO::PARAM_STR);
$stmt->bindColumn("password", $password);
$stmt->bindColumn("salt", $salt, PDO::PARAM_INT); // 指定類型強轉成了 INT 類型
// 不存在的字段
// $stmt->bindColumn(5, $t);
//Fatal error: Uncaught PDOException: SQLSTATE[HY000]: General error: Invalid column index
while($row = $stmt->fetch(PDO::FETCH_BOUND)){
$data = [
'id'=>$id,
'username'=>$username,
'password'=>$password,
'salt'=>$salt,
];
var_dump($data);
}
// array(4) {
// ["id"]=>
// string(1) "1"
// ["username"]=>
// string(3) "aaa"
// ["password"]=>
// string(3) "aaa"
// ["salt"]=>
// int(0)
// }
// array(4) {
// ["id"]=>
// string(1) "2"
// ["username"]=>
// string(3) "bbb"
// ["password"]=>
// string(3) "bbb"
// ["salt"]=>
// int(123)
// }
// ……
// 外部獲取變量就是最後一條數據的信息
$data = [
'id'=>$id,
'username'=>$username,
'password'=>$password,
'salt'=>$salt,
];
print_r($data);
// Array
// (
// [id] => 2
// [username] => bbb
// [password] => bbb
// [salt] => bbb
// )
在代碼中,咱們使用的是 * 來得到的查詢結果集。而後就能夠經過問號佔位符或者列名來將列綁定到變量中。接着在 fetch() 的遍歷過程當中,就能夠經過變量直接獲取每一條數據的相關列的值。須要注意的是,爲變量賦值的做用域僅限於在執行 fetch() 方法以後。從代碼的結構中咱們就能夠看出,bindColumn() 方法對於變量也是做爲引用的方式綁定到 PDOStatement 對象內部的,因此 fetch() 在處理的時候就直接爲這些變量賦上了值。
bindCloumn() 方法後面的參數是可選的字段類型,這個參數在 bindParam() 和 bindValue() 中都是存在的,也都是可選的。若是獲取的類型和咱們綁定時定義的類型不一樣,那麼 PDOStatement 就會強轉爲綁定時指定的類型。例如上面例子中咱們將自己爲 varchar 類型的 salt 字段強轉爲 int 類型以後就輸出的都是 int 類型了。除了這個參數以外,還有一些其它可選的參數,你們能夠自行查閱相關的文檔。
fetch() 循環結束後,變量中依然保留着最後一行結果集的內容。因此在使用的時候要注意若是外部有其它地方使用這些變量的話,是否須要從新賦值或者清理掉它們。
execute 直接傳遞參數
最後,若是咱們不想這麼麻煩地去綁定字段或者變量,也能夠直接在 execute() 方法中直接傳遞參數,它是相似於 bindValue() 的形式進行字段綁定的。
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");
$stmt->execute([
':username'=>'jjj',
':pass'=>'888',
':salt'=>'j8'
]);
// 使用問號佔位符的話是按從0開始的下標
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");
$stmt->execute(['jjjj','8888','j8']);
execute() 的這個綁定參數是一個數組,在使用問號佔位符的時候須要注意,在這裏,按數組的下標來講,它們是從 0 開始算位置的。
另外須要注意的是,PDOStatement 對象的操做都是使用 execute() 方法來進行語句執行的。這個方法只會返回一個布爾值,也就是成功或者失敗。不像 PDO 對象的 exec() 方法返回的是受影響的條數。若是是查詢類的語句,咱們須要在 execute() 以後調用 fetch() 之類的方法遍歷結果集。而增、刪、改之類的操做,則須要經過 rowCount() 來得到返回的執行結果條數。相關的內容咱們也將在以後的文章一塊兒詳細講解。
總結
劃重點的時刻又到咯!今天咱們學習的主要是 PDOStatement 對象的一些不太經常使用但很好玩的方法,另外就是佔位符綁定的問題。其中最主要的就是 bindParam() 和 bindValue() 的區別。下篇文章咱們主要就是要學習 PDOStatement 中的查詢相關的操做,這個可不能丟呀,你們必定不要遲到!
測試代碼:
參考文檔:
https://www.php.net/manual/zh/class.pdostatement.php
===========
各自媒體平臺都可搜索【硬核項目經理】
- 1. PHP中的PDO操做學習(二)預處理語句及事務
- 2. php中PDO處理mysql 基本操做
- 3. php pdo操做數據庫
- 4. [PDO綁定參數]使用PHP的PDO擴展進行批量更新操做
- 5. PHP中操做數據庫的預處理語句
- 6. php PDO操做
- 7. PDO預處理
- 8. PHP-用PDO操做MySQL數據庫
- 9. php數據庫操做--數據預處理、更新、刪除
- 10. 使用 PHP 的 PDO 類操做 MySQL
- 更多相關文章...
- • PHP PDO預定義常量 - PHP參考手冊
- • PHP MySQL 預處理語句 - PHP教程
- • Flink 數據傳輸及反壓詳解
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。