PDO数据访问抽象层

PDO数据访问抽象层:

我们使用的mysqli是针对mysql这个数据库扩展的一个类,如果要用到别的数据库的话就可以用PDO来做

1.操作数据库

先来代码

<!--PDO-->
<!--数据访问抽象层-->
<!--可以访问其他数据库-->
<!--具有事务功能-->
<!--带有预处理语句功能(防止sql注入攻击功能)-->
<?php
//1.造PDO对象
$dsn = "mysql:dbname=heiheihei;host=localhost";
//冒号前面的是驱动名称(mysql),后面是参数:dbname=连接哪一个数据库;连接到本机
$pdo = new PDO($dsn,"root","12345678");
//root(数据库用户名,密码) //2.写sql语句
$sql = "select * from mydb";
//查询语句 //3.执行sql语句
//$stm = $pdo->query($sql);
//执行查询语句 //4.从PDOStatement对象里面读取数据
//$arr = $stm->fetch(PDO::FETCH_ASSOC);
//返回关联数组,即返回一个索引为结果集列名的数组
//$arr = $stm->fetch(PDO::FETCH_BOTH);
//关联加索引,即返回一个索引为结果集列名和以0开始的列号的数组
//$arr = $stm->fetch(PDO::FETCH_NUM);
//返回索引的数组,即返回一个索引为以0开始的结果集列号的数组
//$arr = $stm->fetch(PDO::FETCH_OBJ);
//返回一个属性名对应结果集列名的匿名对象 //缺省为 PDO::ATTR_DEFAULT_FETCH_MODE 的值,即默认 //如果是PDOStatement::fetchAll,即代表一次性读出所有数据 var_dump($arr);
?>

输出:

调用一下fetch里面的参数为  PDO::FETCH_ASSOC

输出attr,则返回一个索引为结果集列名的数组:

PDO数据访问抽象层

调用一下fetch里面的参数为  PDO::FETCH_NUM

输出attr,则返回一个索引为结果集列名和以0开始的列号的数组:

PDO数据访问抽象层

调用一下fetch里面的参数为  PDO::FETCH_OBJ

输出attr,则返回一个属性名对应结果集列名的匿名对象:

PDO数据访问抽象层

改为fetchALL(PDO::FETCH_OBJ)也可以,它是把所有数据都可以查到:

PDO数据访问抽象层

用PDO来做个添加语句:

<?php
//1.造PDO对象
$dsn = "mysql:dbname=heiheihei;host=localhost";
//冒号前面的是驱动名称(mysql),后面是参数:dbname=连接哪一个数据库;连接到本机
$pdo = new PDO($dsn,"root","12345678");
//root(数据库用户名,密码) //2.写sql语句 $sql = "insert into mydb VALUES ('虾','123','小虾',0)";
//增删改语句 //3.执行sql语句 $arr = $pdo->exec($sql);
//执行添加语句,exec返回影响的行数 //4.从PDOStatement对象里面读取数据
var_dump($arr);
?>

exec是用来执行其他语句,他返回的是受影响的行数

图:

PDO数据访问抽象层

显示了一个1,证明影响了1行数据;

如果失败了,运行后会显示0

再看一下,数据库内,已经添加成功:

PDO数据访问抽象层

2.事务功能

事务功能即能够控制语句同时成功或同时失败,失败时可以回滚

事务有三个基本的方法:

PDO::beginTransaction() - 启动一个事务:将下面的代码看作一个事务

commit - 提交事务:是将开始和提交中间的代码看作一个事务一起执行提交

PDO::rollBack() - 回滚一个事务:如果有问题就回滚,没有问题就不用回滚,回滚就是还原

代码:

<?php
$dsn = "mysql:dbname = mydb;host=localhost";
//数据源
$pdo = new PDO($dsn,"root","123");
//造对象 //改事务模式 //1.将PDO的错误类型设为异常模式(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION )
$pdo->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION); //try尝试运行里面代码
try {
//开启事务
$pdo->beginTransaction(); $sql = "insert into mydb VALUES ('西','123','小西',0)";
$sqll = "insert into mydb VALUES ('虾','123','小虾',0)"; $pdo->exec($sql);
$pdo->exec($sqll); //提交事务
$pdo->commit();
} //catch抓住异常.控制异常。$e代表异常的数值
catch(Exception $e)
{
// echo "有错误"; //回滚操作!!!
//如果发现有错误,回滚rollback!
$pdo->rollBack();
} //最终执行,必执行
//final
//{
//无论有没有一场出现,该代码都会执行
//}
?>

在我的数据库里面帐号是主键

PDO数据访问抽象层

西是可以添加上的,但是虾有重复是加不上的,因为有事务功能 ,要么一起成功,要么一起失败,所以这两条数据都不会成功

运行完成,查看数据库:

 PDO数据访问抽象层

果然一条都没有成功!

如果把虾改成对的:

 $sql = "insert into mydb VALUES ('西','123','小西',0)";
$sqll = "insert into mydb VALUES ('东','123','小东',0)";

PDO数据访问抽象层

一起添加成功!!

3.预处理语句防止SQL注入:

 他是分两次来发送到输出,就不会出现注入攻击了

(1)占位符“?”方法:

<?php

$dsn = "mysql:dbname=heiheihei;host=localhost";
$pdo = new PDO($dsn,"root","12345678"); //框架
$sql = "insert into mmaa VALUES (?,?)";
//写一个预处理语句,在写参数的地方用占位符“?”代替 //将预处理语句扔到服务器等待执行,返回PDOStatomont对象;prepare准备,等待执行
$stm = $pdo->prepare($sql); //第二次将变量(参数)扔到服务器的SQl语句相应位置,给预处理语句绑定参数。binparam绑定参数
//第一个参数第二个参数是
$stm->bindParam(1,$id);
$stm->bindParam(2,$name); //赋值
$id = 5;
$name = "孙";
//执行
$stm->execute();

这是一个添加语句,让我们来看看添加成功

PDO数据访问抽象层

如果数据过多,上面这种方法会极其麻烦,所以还有一种简单方法

<?php

$dsn = "mysql:dbname=heiheihei;host=localhost";
$pdo = new PDO($dsn,"root","12345678"); //框架
$sql = "insert into mmaa VALUES (?,?)";
//写一个预处理语句,在写参数的地方用占位符“?”代替 //将预处理语句扔到服务器等待执行,返回PDOStatomont对象;prepare准备,等待执行
$stm = $pdo->prepare($sql); //定义一个数组,必须是索引数组
$arr = aarray("8","邵"); //执行
$stm->execute($arr);

PDO数据访问抽象层

这上面的这种方法很智能,并且很简便,它可以自动把参数仍到该扔到的地方

(2)名称占位法...

这种方法一目了然,知道该填什么参数

代码:

首先我设一个添加的页面:

<body>
<h1>添加一条数据</h1>
<form action="bbb.php" method="post">
<div>id:<input type="text" name="id"/></div>
<div>姓名:<input type="text" name="name"/></div>
<input type="submit" value="点击添加"/>
</form> </body>

然后我去做处理页面:

<?php
$dsn = "mysql:dbname=heiheihei;host=localhost";
$pdo = new PDO($dsn,"root","12345678"); //预处理语句,括号里不是?了
$sql = "insert into mmaa VALUES (:id,:name)";
$stm = $pdo->prepare($sql); //执行,$_post里面有id跟name的值,所以直接把post扔进去就好了
$stm->execute($_POST);

添加图:

PDO数据访问抽象层

点击添加,查看数据库:

PDO数据访问抽象层

添加成功了,代码量非常少

PDO常用方法及其应用

PDO::query() 主要是用于有记录结果返回的操作,特别是SELECT操作
PDO::exec() 主要是针对没有结果集合返回的操作,如INSERT、UPDATE等操作
PDO::prepare() 主要是预处理操作,需要通过$rs->execute()来执行预处理里面的SQL语句,这个方法可以绑定参数,功能比较强大(防止sql注入就靠这个)
PDO::lastInsertId() 返回上次插入操作,主键列类型是自增的最后的自增ID
PDOStatement::fetch() 是用来获取一条记录
PDOStatement::fetchAll() 是获取所有记录集到一个集合
PDOStatement::fetchColumn() 是获取结果指定第一条记录的某个字段,缺省是第一个字段
PDOStatement::rowCount() :主要是用于PDO::query()和PDO::prepare()进行DELETE、INSERT、UPDATE操作影响的结果集,对PDO::exec()方法和SELECT操作无效。

 防注入攻击原理:

当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,SQL攻击者没有一点机会。

上一篇:php PDO:数据访问抽象层


下一篇:红米note.线刷