乐趣区

关于php:PHP中的PDO操作学习三预处理类及绑定数据

要说 PDO 中最弱小的性能,除了为不同的数据库提供了对立的接口之外,更重要的就是它的预处理能力,也就是 PDOStatement 所提供的性能。因为它的存在,才让咱们能够安心地去应用而不必操心 SQL 语句的拼接不好所带来的平安危险问题。当然,预处理也为咱们晋升了语句的执行效率,能够说是 PDO 的另一大杀器。

PDOStatement 类

PDOStatement 类其实就是代表一条预处理语句,并在该语句被执行后代表一个相干的后果集。它提供一些办法,让咱们可能对这条预处理语句进行操作。

$dns = 'mysql:host=localhost;dbname=blog_test;port=3306;charset=utf8';
$pdo = new PDO($dns, 'root', '', [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]);

$stmt = $pdo->prepare("select * from zyblog_test_user");

// PDOStatement 对象的内容
var_dump($stmt);
// object(PDOStatement)#2 (1) {//     ["queryString"]=>
//     string(57) "select * from zyblog_test_user where username = :username"
//   }

PDOStatement 对象是通过 PDO 对象的 prepare() 办法返回的一个对象。它没有构造函数,也就是说咱们不能间接实例化一个 PDOStatement 对象。它蕴含一个只读属性,也就是咱们要执行的 SQL 语句,保留在 queryString 中。

PDOStatement 错误处理

接下来咱们先看看 PDOStatement 的两个错误信息办法。

// 没有指定异样解决状态下的错误信息函数 
$pdo_no_exception = new PDO($dns, 'root', '');
$errStmt = $pdo_no_exception->prepare("select * from errtable");
$errStmt->execute();
var_dump($errStmt->errorCode()); // string(5) "42S02"
var_dump($errStmt->errorInfo());
// array(3) {//     [0]=>
//     string(5) "42S02"
//     [1]=>
//     int(1146)
//     [2]=>
//     string(40) "Table'blog_test.errtable'doesn't exist"
//   }

在之前的文章中,咱们学习过,如果不给 PDO 对象指定错误处理格局的话。它会应用返回错误码和错误信息的形式处理错误。在这种状况下,如果预处理的语句有问题,咱们就能够通过 errorCode() 和 errorInfo() 办法来取得谬误的代码和谬误的详细信息。不过,还是更加举荐指定 PDO 的错误处理形式为抛出异样,就像最下面咱们定义的 PDO 对象那样。这样咱们就能够通过 try…catch 来处理错误异样了。

PDOStatement FETCH_MODE 指定

// 为语句设置默认的获取模式。$stmt->setFetchMode(PDO::FETCH_ASSOC);
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){var_dump($row);
}
// array(4) {//     ["id"]=>
//     string(1) "1"
//     ["username"]=>
//     string(3) "aaa"
//     ["password"]=>
//     string(3) "aaa"
//     ["salt"]=>
//     string(3) "aaa"
//   }
// ……

为查问构造指定 FETCH_MODE 是通过 setFetchMode() 办法来实现的。之前咱们也讲过,通过 PDO 对象的属性能够指定默认的查问后果集模式,不过在 PDOStatement 中,也能够通过这个办法来为以后的这一次预处理语句的查问指定 FETCH_MODE。

PDOStatement 获取列数量及字段信息

// 返回后果集列数、返回后果集中一列的元数据
$stmt = $pdo->prepare("select * from zyblog_test_user");
$stmt->execute();
var_dump($stmt->columnCount()); // int(4)
var_dump($stmt->getColumnMeta(0)); 
// array(7) {//     ["native_type"]=>
//     string(4) "LONG"
//     ["pdo_type"]=>
//     int(2)
//     ["flags"]=>
//     array(2) {//       [0]=>
//       string(8) "not_null"
//       [1]=>
//       string(11) "primary_key"
//     }
//     ["table"]=>
//     string(16) "zyblog_test_user"
//     ["name"]=>
//     string(2) "id"
//     ["len"]=>
//     int(11)
//     ["precision"]=>
//     int(0)
//   }

columnCount() 能够返回咱们以后查问后果集中的列的数量。对于行的数量取得的办法咱们将在下篇文章中再介绍。

getColumnMeta() 办法则是获取后果集中一列的元数据,它的参数是列的序号,从 1 开始的序号,在这里咱们获取的是第一列,也就是 id 列的信息。从打印的后果,能够看到这个列的名称、精确度(precisiion)、长度、类型、所属的表名、属性(主键、非空)这些信息。是不是感觉十分有用。不过这个办法是试验性质的,有可能在将来的 PHP 版本中进行批改,不是正式的固定办法。而且并不是所有数据库连贯驱动都反对这个办法。

PDOStatement 打印出一条预处理语句蕴含的信息

$stmt = $pdo->prepare("select * from zyblog_test_user where username=? and salt = ?");
$username = 'aaa';
$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindValue(2, 'aaa', PDO::PARAM_STR);
$stmt->execute();
var_dump($stmt->debugDumpParams()); 
// SQL: [60] select * from zyblog_test_user where username=? and salt = ?
// Sent SQL: [68] select * from zyblog_test_user where username='aaa' and salt = 'aaa'
// Params:  2
// Key: Position #0:
// paramno=0
// name=[0] ""
// is_param=1
// param_type=2
// Key: Position #1:
// paramno=1
// name=[0] ""
// is_param=1
// param_type=2

debugDumpParams() 也是很好玩的一个办法,它间接打印出以后执行的 SQL 语句的信息,留神,它和 var_dump()、php_info() 这类函数一样,是间接打印的,不是将后果返回到一个变量中。还记得咱们怎么将这种函数的内容保留到变量中吗?[ 还搞不懂 PHP 中的输入缓冲管制?]()。

从打印的后果来看,它能返回实在执行的 SQL 语句以及相干的一些参数信息。对于日常的开发调试来说相对是一个神器啊。很多小伙伴都会受困于 PDO 预处理的语句如果获取到实在的执行语句。而这个办法只须要咱们简略的封装一下,就能够从外面提取出实在的执行语句了哦!

两个 MySQL 扩大不反对的属性

// MySQL 驱动不反对 setAttribute
$stmt->setAttribute(PDO::ATTR_CURSOR, PDO::CURSOR_FWDONLY);
// Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support setting attributes

// MySQL 驱动不反对 getAttribute
var_dump($stmt->getAttribute(PDO::ATTR_AUTOCOMMIT));
// Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support getting attributes 

这两个办法对于 MySQL 扩大驱动来说是不反对的,然而有其它的数据库是反对的,笔者没有测试过其它数据库,大家能够自行测试一下。

绑定字段

接下来就是重点内容了,在预处理语句中,咱们能够应用占位符来绑定变量,从而达到平安解决查问语句的作用。通过占位符,咱们就不必去本人拼装解决带单引号的字段内容了,从而防止了 SQL 注入的产生。留神,这里并不是能够解决所有的 SQL 注入问题,比方字符集问题的 宽字节 注入。

占位符蕴含两种模式,一种是应用 :xxx 这种模式的名称占位符,: 前面的内容能够是本人定义的一个名称。另一种模式就是应用问号占位符,当应用问号占位符的时候,咱们绑定的是字段的下标,下标是从 1 开始的,这点是须要留神的中央。咱们间接通过示例来看看。

bindParam

$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");

$username = 'ccc';
$passwrod = '333';
$salt = 'c3';

$stmt->bindParam(':username', $username);
$stmt->bindParam(':pass', $password);
$stmt->bindParam(':salt', $salt);

$stmt->execute();

// bindParam 问号占位符
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");

$username = 'ccc';
$passwrod = '333';
$salt = 'c3';

$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);

$stmt->execute();

在这段代码中,咱们别离应用了两种模式的占位符来实现了数据的插入。当然,预处理语句和占位符是任何操作语句都能够应用的。它的作用就是用绑定的值来替换语句中的占位符所在位置的内容。不过它只是应用在 values、set、where、order by、group by、having 这些条件及对字段的操作中,有趣味的同学能够试试用占位符来示意一个表名会是什么后果。

bindParam() 办法是绑定一个参数到指定的变量名。在这个办法中,绑定的变量是作为援用被绑定,并且只能是一个变量,不能间接给一个常量。这点咱们在前面讲和 bindValue() 的区别时再具体解说。一些驱动反对调用存储过程的输出 / 输入操作,也能够应用这个办法来绑定,咱们将在前面的文章中解说。

bindValue

$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");

$username = 'ddd';
$passwrod = '444';
$salt = 'd4';

$stmt->bindValue(':username', $username);
$stmt->bindValue(':pass', $password);
$stmt->bindValue(':salt', $salt);

$stmt->execute();

咦?它的用法和 bindParam() 一样呀?没错,它们的作用也是一样的,绑定一个参数到值。留神,这里是绑定到值,而 bindParam() 是绑定到变量。在失常状况下,你能够将它们看作是一样的操作,然而,其实它们有很大的不同,咱们间接就来看它们的区别。

bindParam 和 bindValue 的区别

首先,bindValue() 是能够绑定常量的。

$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

//$stmt->bindParam(':username', 'ccc');
// Fatal error: Uncaught Error: Cannot pass parameter 2 by reference

$stmt->bindValue(':username', 'ccc');

$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){var_dump($row);
}
// array(4) {//     ["id"]=>
//     string(2) "19"
//     ["username"]=>
//     string(3) "ccc"
//     ["password"]=>
//     string(3) "bbb"
//     ["salt"]=>
//     string(2) "c3"
//   }
// ……

如果咱们应用 bindParam() 来指定第二个参数值为常量的话,它会间接报错。bindParam() 的第二个参数是作为援用类型的变量,不能指定为一个常量。

其次,因为 bindParam() 是以援用形式绑定,它的变量内容是可变的,所以在任何地位定义绑定的变量都不影响它的预处理,而 bindValue() 是定义后就立刻将参数进行绑定的,所以上面的代码应用 bindValue() 是无奈取得后果的($username 在 bindValue() 之后才赋值)。

$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

$stmt->bindValue(':username', $username);
$username = 'ccc';

$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){var_dump($row);
}
// 

必须要保障变量在 bindValue() 之前被赋值。

$username = 'ccc';
$stmt->bindValue(':username', $username);

当然,bindParam() 就不存在这样的问题了,咱们能够在 bindParam() 之后再给它指定的变量赋值。

$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

$stmt->bindParam(':username', $username);
$username = 'ddd';

$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){var_dump($row);
}
// array(4) {//     ["id"]=>
//     string(1) "8"
//     ["username"]=>
//     string(3) "ddd"
//     ["password"]=>
//     string(3) "bbb"
//     ["salt"]=>
//     string(2) "d4"
//   }
//   ……

这下对 bindParam() 和 bindValue() 的区别就十分分明了吧?总结一下:

  • bindParam() 必须绑定变量,变量是援用模式的参数,只有在 execute() 之前实现绑定都能够
  • bindValue() 能够绑定常量,如果是绑定的变量,那么变量赋值要在 bindValue() 语句执行之前实现,否则绑定的就是一个空的数据

bindColumn

这个办法是用于绑定查问后果集的内容的。咱们能够将查问后果集中指定的列绑定到一个特定的变量中,这样就能够在 fetch() 或 fetchAll() 遍历后果集时通过变量来失去列的值。

这个办法在理论利用中用到的比拟少,所以很多小伙伴可能是只闻其名不见其身。咱们还是通过代码来看看。

$stmt = $pdo->prepare("select * from zyblog_test_user");

$stmt->execute();

$stmt->bindColumn(1, $id);
$stmt->bindColumn(2, $username, PDO::PARAM_STR);
$stmt->bindColumn("password", $password);
$stmt->bindColumn("salt", $salt, PDO::PARAM_INT); // 指定类型强转成了 INT 类型

// 不存在的字段
// $stmt->bindColumn(5, $t); 
//Fatal error: Uncaught PDOException: SQLSTATE[HY000]: General error: Invalid column index

while($row = $stmt->fetch(PDO::FETCH_BOUND)){
    $data = [
        'id'=>$id,
        'username'=>$username,
        'password'=>$password,
        'salt'=>$salt,
    ];
    var_dump($data);
}
// array(4) {//     ["id"]=>
//     string(1) "1"
//     ["username"]=>
//     string(3) "aaa"
//     ["password"]=>
//     string(3) "aaa"
//     ["salt"]=>
//     int(0)
//   }
//   array(4) {//     ["id"]=>
//     string(1) "2"
//     ["username"]=>
//     string(3) "bbb"
//     ["password"]=>
//     string(3) "bbb"
//     ["salt"]=>
//     int(123)
//   }
// ……

// 内部获取变量就是最初一条数据的信息
$data = [
    'id'=>$id,
    'username'=>$username,
    'password'=>$password,
    'salt'=>$salt,
];
print_r($data);
// Array
// (//     [id] => 2
//     [username] => bbb
//     

  此处含有隐藏内容,需要正确输入密码后可见!

=> bbb // [salt] => bbb // )

在代码中,咱们应用的是 * 来取得的查问后果集。而后就能够通过问号占位符或者列名来将列绑定到变量中。接着在 fetch() 的遍历过程中,就能够通过变量间接获取每一条数据的相干列的值。须要留神的是,为变量赋值的作用域仅限于在执行 fetch() 办法之后。从代码的构造中咱们就能够看出,bindColumn() 办法对于变量也是作为援用的形式绑定到 PDOStatement 对象外部的,所以 fetch() 在解决的时候就间接为这些变量赋上了值。

bindCloumn() 办法前面的参数是可选的字段类型,这个参数在 bindParam() 和 bindValue() 中都是存在的,也都是可选的。如果获取的类型和咱们绑定时定义的类型不同,那么 PDOStatement 就会强转为绑定时指定的类型。例如下面例子中咱们将自身为 varchar 类型的 salt 字段强转为 int 类型之后就输入的都是 int 类型了。除了这个参数之外,还有一些其它可选的参数,大家能够自行查阅相干的文档。

fetch() 循环完结后,变量中仍然保留着最初一行后果集的内容。所以在应用的时候要留神如果内部有其它中央应用这些变量的话,是否须要从新赋值或者清理掉它们。

execute 间接传递参数

最初,如果咱们不想这么麻烦地去绑定字段或者变量,也能够间接在 execute() 办法中间接传递参数,它是相似于 bindValue() 的模式进行字段绑定的。

$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");
$stmt->execute([
    ':username'=>'jjj',
    ':pass'=>'888',
    ':salt'=>'j8'
]);
// 应用问号占位符的话是按从 0 开始的下标
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");
$stmt->execute(['jjjj','8888','j8']);

execute() 的这个绑定参数是一个数组,在应用问号占位符的时候须要留神,在这里,按数组的下标来说,它们是从 0 开始算地位的。

另外须要留神的是,PDOStatement 对象的操作都是应用 execute() 办法来进行语句执行的。这个办法只会返回一个布尔值,也就是胜利或者失败。不像 PDO 对象的 exec() 办法返回的是受影响的条数。如果是查问类的语句,咱们须要在 execute() 之后调用 fetch() 之类的办法遍历后果集。而增、删、改之类的操作,则须要通过 rowCount() 来取得返回的执行后果条数。相干的内容咱们也将在之后的文章一起具体解说。

总结

划重点的时刻又到咯!明天咱们学习的次要是 PDOStatement 对象的一些不太罕用但很好玩的办法,另外就是占位符绑定的问题。其中最次要的就是 bindParam() 和 bindValue() 的区别。下篇文章咱们次要就是要学习 PDOStatement 中的查问相干的操作,这个可不能丢呀,大家肯定不要早退!

测试代码:

https://github.com/zhangyue0503/dev-blog/blob/master/php/202009/source/PHP%E4%B8%AD%E7%9A%84PDO%E6%93%8D%E4%BD%9C%E5%AD%A6%E4%B9%A0%EF%BC%88%E4%B8%89%EF%BC%89%E9%A2%84%E5%A4%84%E7%90%86%E7%B1%BB%E5%8F%8A%E7%BB%91%E5%AE%9A%E6%95%B0%E6%8D%AE.php

参考文档:

https://www.php.net/manual/zh/class.pdostatement.php

===========

各自媒体平台均可搜寻【硬核项目经理】

退出移动版