PHP为什么会如此风靡全球,至今都占着WEB网站的首把交椅?原因是多方面的,我个人觉得众多原因中必然有这2个原因:
-
1、一个是PHP既支持面向过程又支持面向对象,说白了就是老少通吃,小朋友也可以用,成年人也可以玩,小朋友可以在PHP中玩着玩着就长大了。
-
2、另外一个是PHP是一门脚本语言,即解析性语言,不需要编译就能直接在Apache等WEB服务器下运行,这也为VPS的爆发埋下了伏笔。
在开始之前我们先一起来看一下一个数据库操作的生命周期: > 连接数据库->CRUD->释放资源->关闭连接
这么一个逻辑其实放在哪里都是这样,只是每一个逻辑步骤中的处理抽象程度不一样而以。 好了,回了正题上来,我们先看小学生会如何编写php-mysql.
一、方式一:小学生
<?php
//连接
$link = mysql_connect($dbHost, $dbUser, $dbPasswd);
//选择数据库
mysql_select_db($dbName);
//数据库中的查询
$result = mysql_query($sql);
//从结果集中取值
$row = mysql_fetch_array($result,MYSQL_ASSOC);
//释放
mysql_free_result($result);
//关闭
mysql_close($link);
?>
这种数据库操作的方式是最开始PHP与MySQL的搭配,但是这种方式一方面并不支持参数绑定,而且容易遭受到SQL注入攻击,比如为$sex赋值为一些恶意或者并不是我们想要的SQL语句,后果将很严重,将会直接操作到数据库。
说到数据库操作的安全问题,一般的操作:
1、过滤输入的前后空白字符
2、过滤控制字符
3、执行SQL
使用trim可以去除前后的空白字符,然后使用addslashes进行控制符转义,addslashes可以转义单双引号、反斜杠()和NULL字符。 其实PHP可以帮助我们自动转义控制符,可使用get_magic_quotes_gpc判断PHP是否自动帮我们转义了控制符。
<?php
if(!get_magic_quotes_gpc()){
$param = addslashes($param);
}
?>
上面这个是最原始的PHP操作MySQL的做法,确实跟C很像,纯粹是面向过程的。下面我们来看一下MySQL的进步。
二、方式二:初中生
PHP5中对MySQL操作也进行了优化升级,也就是mysqli函数库。 这一节我们还是按面向过程的方式(Procedural style)来看一下mysqli的操作。
<?php
$link = mysqli_connect($dbHost,$dbUser,$dbPasswd,$dbName);
//如果上面没的指定数据库,这里还是可以选择
//mysqli_select_db($link,$dbName);
$result = mysqli_query($link,$sql);
//行数
$numResults = mysqli_num_rows($result);
//
$row = mysqli_fetch_assoc($result);
//或者将结果取出到列表数组中,然后可以使用row[0],row[1]...的形式进行取值
$row = mysqli_fetch_row($result);
//或者可以将结果中的一行取回给一个对象
$row = mysqli_fetch_object($result);
mysqli_free_result($result);
mysqli_close($result);
?>
到目前为止,好像mysqli和之前的mysql并没有什么区别,其实以上的操作mysqli都进行了大量的优化,但是给我们印象最深的可能还是Prepared语句。 Prepared语句的操作我们放在高中课程来讲,虽然Prepared也支持面向过程,但是操作流程都一样,只是调用方式不一样,所以后面一起讨论。
三、方式三:高中生
其中这一节的操作我们还是使用mysqli,不过,我们使用它面向对象的形式(Object oriented style).
<?php
$link = new mysqli($dbHost,$dbUser,$dbPasswd,$dbName);
//如果上面没的指定数据库,这里还是可以选择
//$link->select_db($dbName);
$result = $link->query($sql);
//行数
$numResults = $result->num_rows;
//
$row = $result->fetch_assoc();
//或者将结果取出到列表数组中,然后可以使用row[0],row[1]...的形式进行取值
$row = $result->fetch_row();
//或者可以将结果中的一行取回给一个对象
$row = $result->fetch_object();
$result->free();
$link->close();
?>
上面就是我们进行MySQL操作最常用的面向对象形式的。接下来我们来讨论下Prepared语句。Prepared语句的基本思想就是向MySQL发送一个查询模板,然后再单独发送对应的数据,所以模板可以是同一个,但是发送的数据可以是大量的,这样一来对于批量数据插入操作非常有用。我们来看一个例子:
<?php
$link = new mysqli($dbHost,$dbUser,$dbPasswd,$dbName);
$query = "insert into User values(?,?,?,?)";
$stmt = $link->prepare($query);
$stmt->bind_param("sssi",$name,$email,$password,$sex);
$stmt->execute();
echo $stmt->affected_rows. 'user inserted into db';
$stmt->close();
?>
需要注意的地方是bind_param方法中第一个参数”sssd”代表后面每个字段的格式,i代表integer,d代表double,s代表string,b代表blog.
我们同样可以使用bind_result()像bind_param()那样绑定查询的结果:
<?php
$link = new mysqli($dbHost,$dbUser,$dbPasswd,$dbName);
$query = "select id,name,email,sex from User order by id limit 10";
$stmt = $link->prepare($query);
if ($stmt) {
$stmt->execute();
$stmt->bind_result($id,$name,$email,$sex);
while ($stmt->fetch()) {
echo $id . ','.$name.','.$email.','$sex;
}
$stmt->close();
}
$link->close();
?>
四、方式四:大学生
大学生意味着就成年了,也就是说看待问题就更加的宏观了,我们可以看到上面的这些mysql或者mysqli方法都是针对mysql的,如果我们更换了数据库,那这些都将无法使用,于是我们可以像数据库的操作更加的抽象化,将数据库的操作透明化,用户对数据库的操作不应该限定为某一个数据库。市面上有很多的数据抽象层,如PDO、ADODC、PHPLib、DBA、dbx、ODBC等等,我们这里选择PDO。PDO支持众多数据库,可以使用
PDO::getAvailableDrivers()查询系统中PDO支持的数据库。
<?php
$dsn = "mysql:host=%dbHost;dbname=$dbName";
$dbh = new PDO($dsn,$dbUser,$dbPassword);
$sql = "select `id`,`name`,`teamId`,`email`,`sex` from User where `sex`=?,`teamId`=?";
$sth = $dbh->prepare($sql);
$sth->setFetchMode(PDO::FETCH_OBJ);
while ($row = $sth->fetch()) {
echo $row->id.','$row->name.','.$row->email;
}
$dbh = NULL;
?>
OK,上面是一个最基本的PDO操作示例,我们一起来好好研究下PDO如何使用。
1、异常处理
PDO可以使用异常处理,所以所有的PDO操作我们都应该放在try,catch块中,PDO可以使用3种错误模式处理新建句柄时的错误。
<?php
$dsn = "mysql:host=%dbHost;dbname=$dbName";
$dbh = new PDO($dsn,$dbUser,$dbPassword);
$dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_SILENT);
$dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_WARNING);
$dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
?>
根据参数名称,我们就可以想到几个模式的意思,静默、警告、抛异常。
<?php
try{
$dbh = new PDO('mysql:host=$host;dbname=$dbName',$user,$pass);
$dbh = setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
//没有xx字段
$dbh = prepare('select xx from User');
}catch(PDOException $e){
echo 'PDO Error:'.$e->getMessage();
}
?>
2、insert与update操作
我们看一下基本的操作流程:
Prepare -> Bind ->execute
<?php
$sth = $link->prepare("insert into User(name) values('Grey')");
$sth->execute();
?>
prepare的占位符方式:
- 无占位符:
<?php
$sth = $link->prepare("insert into User(name,email,password,sex) values($name,$email,$password,$sex)");
?>
- 无名占位符:
<?php
sth = $link->prepare("insert into User(name,email,password,sex) values(?,?,?,?)");
$sth->bindParam(1,$name);
$sth->bindParam(2,$email);
$sth->bindParam(3,$password);
$sth->bindParam(4,$sex);
//
$name = 'Grey';
$email = 'guohui.great@gmail.com';
$password = '123456';
$sex = 1;
$sth->execute();
//
$name = 'Joseph';
$email = 'joseph@gmail.com';
$password = '654321';
$sex = 0;
$sth->execute();
?>
每插入一条数据都要这样进行参数绑定,然后指定数据执行,效率确实有点低,数据也可以直接通过Array进行数据指定。
<?php
$data = array('WeiFocus','weifocus@weifocus.com','111111',1);
$sth = $link->prepare("insert into User(name,email,password,sex) values(?,?,?,?)");
$sth->execute($data);
?>
$data数组的数据将按顺序依次填充占位符。
- 命名占位符:
<?php
$data = array('name'=>'Paul','email'=>'paul@gmail.com','password'=>'123456','sex'=>1);
$sth = $link->prepare('insert into User(name,email,password,sex) value(:name,:email,:password,:sex)');
$sth->execute($data);
?>
3、查询数据
<?php
//设定数据获取方式
$sth->setFetchMode(PDO::FETCH_ASSOC);
$sth->fetch();
?>
我们看一下PHP文档中关于此处数据获取方式的说明:
缺省为 PDO::ATTR_DEFAULT_FETCH_MODE 的值 (默认为 PDO::FETCH_BOTH )。
PDO::FETCH_ASSOC:返回一个索引为结果集列名的数组
PDO::FETCH_BOTH(默认):返回一个索引为结果集列名和以0开始的列号的数组
PDO::FETCH_BOUND:返回 TRUE ,并分配结果集中的列值给 PDOStatement::bindColumn() 方法绑定的 PHP 变量。
PDO::FETCH_CLASS:返回一个请求类的新实例,映射结果集中的列名到类中对应的属性名。如果 fetch_style 包含 PDO::FETCH_CLASSTYPE(例如:PDO::FETCH_CLASS | PDO::FETCH_CLASSTYPE),则类名由第一列的值决定
PDO::FETCH_INTO:更新一个被请求类已存在的实例,映射结果集中的列到类中命名的属性
PDO::FETCH_LAZY:结合使用 PDO::FETCH_BOTH 和 PDO::FETCH_OBJ,创建供用来访问的对象变量名
PDO::FETCH_NUM:返回一个索引为以0开始的结果集列号的数组
PDO::FETCH_OBJ:返回一个属性名对应结果集列名的匿名对象
其中最常用的就是PDO::FETCH_ASSOC、PDO::FETCH_OBJ、PDO::FETCH_CLASS三种取值模式。
- PDO::FETCH_ASSOC:
这种模式的时候,fetch()调用的时候将会创建一个关联数组,然后可以通过列的名称索引数组。
<?php
$sth = $link->query("select name,email,sex from User");
$sth->setFetchMode(PDO::FETCH_ASSOC);
while($row=$sth->fetch()){
echo $row['name'].','.$row['email'].','.$row['sex'];
}
?>
- PDO::FETCH_OBJ:
这种模式,fetch()将为返回的每一行创建一个标准对象。
<?php
$sth = $link->query("select name,email,sex from User");
$sth->setFetchMode(PDO::FETCH_OBJ);
while($row=$sth->fetch()){
echo $row->name.','.$row->email.','.$row->sex;
}
?>
- PDO::FETCH_CLASS:
这种模式将返回的结果直接填充到设定的类中,与类成员建立一一对应的关系。 使用这种模式时需要注意的是,我们都知道构造函数在对象创建时是第一个被调用的,但是这里略有不同,对象的成员在构造函数被调用前都已经被赋值了,
<?php
class User{
public $name;
public $email;
public $sex;
function __construct($nameMark = '【WeiFocusIo】'){
$this->name .= $nameMark;
}
}
$sth = $link->query('select name,email,sex from User');
$sth->setFetchMode(PDO::FETCH_CLASS,'User');
while($obj = $sth->fetch()){
echo $obj->name;
}
?>
当需要构造函数在数据填充之前就被调用,可以设置fetch模式为:
<?php
$sth->setFetchMode(PDO::FETCH_CLASS|PDO::FETCH_PROPS_LATE,'User');
?>
咱们对比一下这两种模式的结果会发现前者的name会添加后缀,而后者并没有后缀。
到目前为止,我们还没有看到如何给构造函数传值,其实fetch可以在后面添加参数:
<?php
> $sth->setFetchMode(PDO::FETCH_CLASS,'User',array($nameMark));
?>
需要注意的是fetch设置的是取值模式是针对其下一组值的。
在结束PDO这一节之前,我们再来看一些常见的操作方法:
$link->lastInsertId();将返回该连接插入的最后一条数据的自增ID值。
$link->exec($sql);用于执行那些无返回值或影响行数据的命令,
$link->quote($unsafe);过滤字符串引号,在不使用prepare预处理时使用。
$sth->rowCount();返回一个操作影响数据行的数量。
五、方式五:公司实战
以上的方法,都是学院派学习时的内容,但是在我们实际的生产环境中,我们面对一个大型项目,如此来操作数据库未免有太多冗余的操作,我们会把大量的时间浪费在数据库SQL语句编写中,而且代码中大量位置充斥着SQL,也并没有体现出面向对象的思想,是一个糟糕的零散的局面,这个时候我们就需要ORM,PHP的世界里有大量的ORM框架可以使用如:PHP ORM/持久层框架,
什么是ORM,在任何一种现代语言的任何一个全栈框架都必然会有一个ORM功能,即Object-Relational Mapping。说白了就是对数据库表建立一个与对象的映射关系。对对象成员的操作直接就可以与数据库进行同步。对用户来讲看到的就是对对象的成员的修改,实则ORM帮助用户完成了数据库层的操作。这里我就不详细展开讲了,大家根据自己的喜好来选择适合自己的ORM框架。