您好,登錄后才能下訂單哦!
這篇文章主要介紹“PHP中的預處理類及綁定數據的使用方法”,在日常操作中,相信很多人在PHP中的預處理類及綁定數據的使用方法問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”PHP中的預處理類及綁定數據的使用方法”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!
要說 PDO 中最強大的功能,除了為不同的數據庫提供了統一的接口之外,更重要的就是它的預處理能力,也就是 PDOStatement 所提供的功能。因為它的存在,才讓我們可以安心地去使用而不用操心 SQL 語句的拼接不好所帶來的安全風險問題。當然,預處理也為我們提升了語句的執行效率,可以說是 PDO 的另一大殺器。
PDOStatement 類其實就是代表一條預處理語句,并在該語句被執行后代表一個相關的結果集。它提供一些方法,讓我們能夠對這條預處理語句進行操作。
$dns = 'mysql:host=localhost;dbname=blog_test;port=3306;charset=utf8'; $pdo = new PDO($dns, 'root', '', [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]); $stmt = $pdo->prepare("select * from zyblog_test_user"); // PDOStatement 對象的內容 var_dump($stmt); // object(PDOStatement)#2 (1) { // ["queryString"]=> // string(57) "select * from zyblog_test_user where username = :username" // }
PDOStatement 對象是通過 PDO 對象的 prepare() 方法返回的一個對象。它沒有構造函數,也就是說我們不能直接實例化一個 PDOStatement 對象。它包含一個只讀屬性,也就是我們要執行的 SQL 語句,保存在 queryString 中。
接下來我們先看看 PDOStatement 的兩個錯誤信息方法。
// 沒有指定異常處理狀態下的錯誤信息函數 $pdo_no_exception = new PDO($dns, 'root', ''); $errStmt = $pdo_no_exception->prepare("select * from errtable"); $errStmt->execute(); var_dump($errStmt->errorCode()); // string(5) "42S02" var_dump($errStmt->errorInfo()); // array(3) { // [0]=> // string(5) "42S02" // [1]=> // int(1146) // [2]=> // string(40) "Table 'blog_test.errtable' doesn't exist" // }
在之前的文章中,我們學習過,如果不給 PDO 對象指定錯誤處理格式的話。它會使用返回錯誤碼和錯誤信息的方式處理錯誤。在這種情況下,如果預處理的語句有問題,我們就可以通過 errorCode() 和 errorInfo() 方法來獲得錯誤的代碼和錯誤的詳細信息。不過,還是更加推薦指定 PDO 的錯誤處理方式為拋出異常,就像最上面我們定義的 PDO 對象那樣。這樣我們就可以通過 try...catch 來處理錯誤異常了。
// 為語句設置默認的獲取模式。 $stmt->setFetchMode(PDO::FETCH_ASSOC); $stmt->execute(); while($row = $stmt->fetch(PDO::FETCH_ASSOC)){ var_dump($row); } // array(4) { // ["id"]=> // string(1) "1" // ["username"]=> // string(3) "aaa" // ["password"]=> // string(3) "aaa" // ["salt"]=> // string(3) "aaa" // } // ……
為查詢結構指定 FETCH_MODE 是通過 setFetchMode() 方法來實現的。之前我們也講過,通過 PDO 對象的屬性可以指定默認的查詢結果集模式,不過在 PDOStatement 中,也可以通過這個方法來為當前的這一次預處理語句的查詢指定 FETCH_MODE 。
// 返回結果集列數、返回結果集中一列的元數據 $stmt = $pdo->prepare("select * from zyblog_test_user"); $stmt->execute(); var_dump($stmt->columnCount()); // int(4) var_dump($stmt->getColumnMeta(0)); // array(7) { // ["native_type"]=> // string(4) "LONG" // ["pdo_type"]=> // int(2) // ["flags"]=> // array(2) { // [0]=> // string(8) "not_null" // [1]=> // string(11) "primary_key" // } // ["table"]=> // string(16) "zyblog_test_user" // ["name"]=> // string(2) "id" // ["len"]=> // int(11) // ["precision"]=> // int(0) // }
columnCount() 可以返回我們當前查詢結果集中的列的數量。關于行的數量獲得的方法我們將在下篇文章中再介紹。
getColumnMeta() 方法則是獲取結果集中一列的元數據,它的參數是列的序號,從 1 開始的序號,在這里我們獲取的是第一列,也就是 id 列的信息。從打印的結果,可以看到這個列的名稱、精確度(precisiion)、長度、類型、所屬的表名、屬性(主鍵、非空)這些信息。是不是感覺非常有用。不過這個方法是實驗性質的,有可能在未來的 PHP 版本中進行修改,不是正式的固定方法。而且并不是所有數據庫連接驅動都支持這個方法。
$stmt = $pdo->prepare("select * from zyblog_test_user where username=? and salt = ?"); $username = 'aaa'; $stmt->bindParam(1, $username, PDO::PARAM_STR); $stmt->bindValue(2, 'aaa', PDO::PARAM_STR); $stmt->execute(); var_dump($stmt->debugDumpParams()); // SQL: [60] select * from zyblog_test_user where username=? and salt = ? // Sent SQL: [68] select * from zyblog_test_user where username='aaa' and salt = 'aaa' // Params: 2 // Key: Position #0: // paramno=0 // name=[0] "" // is_param=1 // param_type=2 // Key: Position #1: // paramno=1 // name=[0] "" // is_param=1 // param_type=2
debugDumpParams() 也是很好玩的一個方法,它直接打印出當前執行的 SQL 語句的信息,注意,它和 var_dump() 、 php_info() 這類函數一樣,是直接打印的,不是將結果返回到一個變量中。還記得我們怎么將這種函數的內容保存到變量中嗎?[還搞不懂PHP中的輸出緩沖控制?]()。
從打印的結果來看,它能返回真實執行的 SQL 語句以及相關的一些參數信息。對于日常的開發調試來說絕對是一個神器啊。很多小伙伴都會受困于 PDO 預處理的語句如果獲取到真實的執行語句。而這個方法只需要我們簡單的封裝一下,就可以從里面提取出真實的執行語句了哦!
// MySQL 驅動不支持 setAttribute $stmt->setAttribute(PDO::ATTR_CURSOR, PDO::CURSOR_FWDONLY); // Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support setting attributes // MySQL 驅動不支持 getAttribute var_dump($stmt->getAttribute(PDO::ATTR_AUTOCOMMIT)); // Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support getting attributes
這兩個方法對于 MySQL 擴展驅動來說是不支持的,但是有其它的數據庫是支持的,筆者沒有測試過其它數據庫,大家可以自行測試一下。
接下來就是重點內容了,在預處理語句中,我們可以使用占位符來綁定變量,從而達到安全處理查詢語句的作用。通過占位符,我們就不用去自己拼裝處理帶單引號的字段內容了,從而避免了 SQL 注入的發生。注意,這里并不是可以處理所有的 SQL 注入問題,比如字符集問題的 寬字節 注入 。
占位符包含兩種形式,一種是使用 :xxx 這種形式的名稱占位符,: 后面的內容可以是自己定義的一個名稱。另一種形式就是使用問號占位符,當使用問號占位符的時候,我們綁定的是字段的下標,下標是從 1 開始的,這點是需要注意的地方。我們直接通過示例來看看。
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)"); $username = 'ccc'; $passwrod = '333'; $salt = 'c3'; $stmt->bindParam(':username', $username); $stmt->bindParam(':pass', $password); $stmt->bindParam(':salt', $salt); $stmt->execute(); // bindParam 問號占位符 $stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)"); $username = 'ccc'; $passwrod = '333'; $salt = 'c3'; $stmt->bindParam(1, $username); $stmt->bindParam(2, $password); $stmt->bindParam(3, $salt); $stmt->execute();
在這段代碼中,我們分別使用了兩種形式的占位符來實現了數據的插入。當然,預處理語句和占位符是任何操作語句都可以使用的。它的作用就是用綁定的值來替換語句中的占位符所在位置的內容。不過它只是使用在 values 、 set 、 where 、 order by 、 group by 、 having 這些條件及對字段的操作中,有興趣的同學可以試試用占位符來表示一個表名會是什么結果。
bindParam() 方法是綁定一個參數到指定的變量名。在這個方法中,綁定的變量是作為引用被綁定,并且只能是一個變量,不能直接給一個常量。這點我們在后面講和 bindValue() 的區別時再詳細講解。一些驅動支持調用存儲過程的輸入/輸出操作,也可以使用這個方法來綁定,我們將在后面的文章中講解。
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)"); $username = 'ddd'; $passwrod = '444'; $salt = 'd4'; $stmt->bindValue(':username', $username); $stmt->bindValue(':pass', $password); $stmt->bindValue(':salt', $salt); $stmt->execute();
咦?它的用法和 bindParam() 一樣呀?沒錯,它們的作用也是一樣的,綁定一個參數到值。注意,這里是綁定到值,而 bindParam() 是綁定到變量。在正常情況下,你可以將它們看作是一樣的操作,但是,其實它們有很大的不同,我們直接就來看它們的區別。
首先,bindValue() 是可以綁定常量的。
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username"); //$stmt->bindParam(':username', 'ccc'); // Fatal error: Uncaught Error: Cannot pass parameter 2 by reference $stmt->bindValue(':username', 'ccc'); $stmt->execute(); while($row = $stmt->fetch(PDO::FETCH_ASSOC)){ var_dump($row); } // array(4) { // ["id"]=> // string(2) "19" // ["username"]=> // string(3) "ccc" // ["password"]=> // string(3) "bbb" // ["salt"]=> // string(2) "c3" // } // ……
如果我們使用 bindParam() 來指定第二個參數值為常量的話,它會直接報錯。bindParam() 的第二個參數是作為引用類型的變量,不能指定為一個常量。
其次,因為bindParam() 是以引用方式綁定,它的變量內容是可變的,所以在任何位置定義綁定的變量都不影響它的預處理,而 bindValue() 是定義后就立即將參數進行綁定的,所以下面的代碼使用 bindValue() 是無法獲得結果的($username 在 bindValue() 之后才賦值)。
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username"); $stmt->bindValue(':username', $username); $username = 'ccc'; $stmt->execute(); while($row = $stmt->fetch(PDO::FETCH_ASSOC)){ var_dump($row); } //
必須要保證變量在 bindValue() 之前被賦值。
$username = 'ccc'; $stmt->bindValue(':username', $username);
當然,bindParam() 就不存在這樣的問題了,我們可以在 bindParam() 之后再給它指定的變量賦值。
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username"); $stmt->bindParam(':username', $username); $username = 'ddd'; $stmt->execute(); while($row = $stmt->fetch(PDO::FETCH_ASSOC)){ var_dump($row); } // array(4) { // ["id"]=> // string(1) "8" // ["username"]=> // string(3) "ddd" // ["password"]=> // string(3) "bbb" // ["salt"]=> // string(2) "d4" // } // ……
這下對 bindParam() 和 bindValue() 的區別就非常清楚了吧?總結一下:
bindParam() 必須綁定變量,變量是引用形式的參數,只要在 execute() 之前完成綁定都可以
bindValue() 可以綁定常量,如果是綁定的變量,那么變量賦值要在 bindValue() 語句執行之前完成,否則綁定的就是一個空的數據
這個方法是用于綁定查詢結果集的內容的。我們可以將查詢結果集中指定的列綁定到一個特定的變量中,這樣就可以在 fetch() 或 fetchAll() 遍歷結果集時通過變量來得到列的值。
這個方法在實際應用中用到的比較少,所以很多小伙伴可能是只聞其名不見其身。我們還是通過代碼來看看。
$stmt = $pdo->prepare("select * from zyblog_test_user"); $stmt->execute(); $stmt->bindColumn(1, $id); $stmt->bindColumn(2, $username, PDO::PARAM_STR); $stmt->bindColumn("password", $password); $stmt->bindColumn("salt", $salt, PDO::PARAM_INT); // 指定類型強轉成了 INT 類型 // 不存在的字段 // $stmt->bindColumn(5, $t); //Fatal error: Uncaught PDOException: SQLSTATE[HY000]: General error: Invalid column index while($row = $stmt->fetch(PDO::FETCH_BOUND)){ $data = [ 'id'=>$id, 'username'=>$username, 'password'=>$password, 'salt'=>$salt, ]; var_dump($data); } // array(4) { // ["id"]=> // string(1) "1" // ["username"]=> // string(3) "aaa" // ["password"]=> // string(3) "aaa" // ["salt"]=> // int(0) // } // array(4) { // ["id"]=> // string(1) "2" // ["username"]=> // string(3) "bbb" // ["password"]=> // string(3) "bbb" // ["salt"]=> // int(123) // } // …… // 外部獲取變量就是最后一條數據的信息 $data = [ 'id'=>$id, 'username'=>$username, 'password'=>$password, 'salt'=>$salt, ]; print_r($data); // Array // ( // [id] => 2 // [username] => bbb // [password] => bbb // [salt] => bbb // )
在代碼中,我們使用的是 * 來獲得的查詢結果集。然后就可以通過問號占位符或者列名來將列綁定到變量中。接著在 fetch() 的遍歷過程中,就可以通過變量直接獲取每一條數據的相關列的值。需要注意的是,為變量賦值的作用域僅限于在執行 fetch() 方法之后。從代碼的結構中我們就可以看出,bindColumn() 方法對于變量也是作為引用的方式綁定到 PDOStatement 對象內部的,所以 fetch() 在處理的時候就直接為這些變量賦上了值。
bindCloumn() 方法后面的參數是可選的字段類型,這個參數在 bindParam() 和 bindValue() 中都是存在的,也都是可選的。如果獲取的類型和我們綁定時定義的類型不同,那么 PDOStatement 就會強轉為綁定時指定的類型。例如上面例子中我們將本身為 varchar 類型的 salt 字段強轉為 int 類型之后就輸出的都是 int 類型了。除了這個參數之外,還有一些其它可選的參數,大家可以自行查閱相關的文檔。
fetch() 循環結束后,變量中依然保留著最后一行結果集的內容。所以在使用的時候要注意如果外部有其它地方使用這些變量的話,是否需要重新賦值或者清理掉它們。
最后,如果我們不想這么麻煩地去綁定字段或者變量,也可以直接在 execute() 方法中直接傳遞參數,它是類似于 bindValue() 的形式進行字段綁定的。
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)"); $stmt->execute([ ':username'=>'jjj', ':pass'=>'888', ':salt'=>'j8' ]); // 使用問號占位符的話是按從0開始的下標 $stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)"); $stmt->execute(['jjjj','8888','j8']);
execute() 的這個綁定參數是一個數組,在使用問號占位符的時候需要注意,在這里,按數組的下標來說,它們是從 0 開始算位置的。
另外需要注意的是,PDOStatement 對象的操作都是使用 execute() 方法來進行語句執行的。這個方法只會返回一個布爾值,也就是成功或者失敗。不像 PDO 對象的 exec() 方法返回的是受影響的條數。如果是查詢類的語句,我們需要在 execute() 之后調用 fetch() 之類的方法遍歷結果集。而增、刪、改之類的操作,則需要通過 rowCount() 來獲得返回的執行結果條數。相關的內容我們也將在之后的文章一起詳細講解。
到此,關于“PHP中的預處理類及綁定數據的使用方法”的學習就結束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續學習更多相關知識,請繼續關注億速云網站,小編會繼續努力為大家帶來更多實用的文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。