Heim >Backend-Entwicklung >PHP-Tutorial >PHP操作MySQL方式选择?

PHP操作MySQL方式选择?

WBOY
WBOYOriginal
2016-06-06 20:22:171330Durchsuche

之前从书上学习的Mysql操作方式一直都是大致如下的形式

<code>$dbc = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME); 

$query = "select * from products where Category=\"$category\"";

$data = mysqli_query($dbc, $query);

while ($row = mysqli_fetch_array($data)) {...}</code>

现在在别人的项目实现中发现了预处理的方式

<code>$stmt = $this->conn->prepare("SELECT password_hash FROM users WHERE email = ?");
 
$stmt->bind_param("s", $email);
 
$stmt->execute();
 
$stmt->bind_result($password_hash);
 
$stmt->store_result();</code>

好吧 只是面向对象和面向过程2中实现方法罢了..大家无视掉吧

回复内容:

之前从书上学习的Mysql操作方式一直都是大致如下的形式

<code>$dbc = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME); 

$query = "select * from products where Category=\"$category\"";

$data = mysqli_query($dbc, $query);

while ($row = mysqli_fetch_array($data)) {...}</code>

现在在别人的项目实现中发现了预处理的方式

<code>$stmt = $this->conn->prepare("SELECT password_hash FROM users WHERE email = ?");
 
$stmt->bind_param("s", $email);
 
$stmt->execute();
 
$stmt->bind_result($password_hash);
 
$stmt->store_result();</code>

好吧 只是面向对象和面向过程2中实现方法罢了..大家无视掉吧

你看的是教科书吧,哈哈~
只用pdo,不解释~

对于有用户输出参数的查询,直接拼接SQL语句然后query不安全,
查询前应该用mysqli_real_escape_string转义SQL语句中的特殊字符.
不过最好还是用prepare预处理bind_param参数化查询.

<code class="php">//pdo防注入,你值得拥有
$pdo = new PDO("mysql:dbname=test",'root','');
$sql = "SELECT * FROM  category";
$stmt = $pdo->prepare($sql);
$stmt->execute();
// 以数组方式获取结果,并遍历结果
while ($row = $stmt->fetch()) {
    $categories[] = $row;
}
print_r($categories);
</code>

预处理方式是通过增强扩展的Mysqli类实现的,它是MYSQL4.1以后才开始提供的功能,书上一般只会讲默认的实现方式,这样也便于初学者理解PHP连接MYSQL的方法,这本书如果有讲预处理肯定会提到的。

预处理方式我是在做oracle的时候碰到的,当时就震惊了,企业级的数据库就是这么吊,后来才知道mysql也有的,不过确实建议使用预处理来做数据库操作

PHP有三种连接MySQL的方式: mysql_connect(), mysqli, pdo。

mysql_connect()官方已经不推荐使用了,安全性很差。

mysqli和pdo,两种都可以预处理,参数绑定,都能有效防范SQL注入等问题。更推荐使用PDO一些。因为PDO是一个数据库抽象层,支持很多不同的数据库驱动(方便以后更换);支持更友善的命名式变量绑定等。

而PHP因为历史原因,很多库提供了两套使用方式:面向对象的,和面向过程的(函数的,C语言式),mysqli就有过程式和对象式两种。
你给出的第一个例子,就是mysqli的过程式的,而第二种,是对象式的。

扯呢?
只有面向过程和面型对象的两种实现?开啥子玩笑。
PDO的参数绑定以及预处理让传统一大坨addslashes,mysql escape各种杂七杂八的过滤函数全部下岗了。
除了釜底抽薪地解决了sql注入问题外,然后就是绑定预查询,在批量相似查询时效率提高。

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn