下面来说一下PDO
先画一张图来了解一下
mysqli是针对mysql这个数据库扩展的一个类
PDO是为了能访问更多数据库
如果出现程序需要访问其他数据库的话就可以用PDO来做
PDO
数据访问抽象层
1、操作其他数据库
2、事务功能
3、防止SQL注入攻击
用PDO来举个例子
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>无标题文档</title>
</head> <body> <?php
//1、操作其他数据库
//2、事务功能
//3、防止SQL注入攻击 //造PDO对象
$dsn = "mysql:dbname=shuang;host=localhost"; //数据源
$pdo = new PDO($dsn,"root","726");//需要三个参数
//写SQL语句
$sql = "select * from nation";
//执行
$attr = $pdo->query($sql); $arr = $attr->fetch(PDO::FETCH_ASSOC); //这里的参数不需要单引号双引号
var_dump($arr); ?>
</body>
</html>
调用一下fetch里面的参数为 PDO::FETCH_ASSOC
输出一下attr
输出的是一个关联数组
把里面参数ASSOC换为NUM,输出:
输出为索引的
如果参数ASSOC改为 BOTH,输出:
则关联和索引都有
改为fetchALL(PDO::FETCH_BOTH)也可以,它是把所有数据都可以查到
用PDO来做个添加语句试试看
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>无标题文档</title>
</head> <body> <?php
//1、操作其他数据库
//2、事务功能
//3、防止SQL注入攻击 //造PDO对象
$dsn = "mysql:dbname=shuang;host=localhost"; //数据源
$pdo = new PDO($dsn,"root","726");//需要三个参数
//写SQL语句
//$sql = "select * from nation";
$sql = "insert into nation values('n076','数据')"; //添加语句
//执行
$a = $pdo->query($sql); var_dump($a); //$arr = $attr->fetchALL(PDO::FETCH_BOTH); //这里的参数不需要单引号双引号
//var_dump($arr); ?>
</body>
</html>
运行试试看:
再看一下,数据库内,有没有添加上数据
添加成功
PDO中除了用query方法,还可以用一种
exec 方法
运行后看看效果
显示了一个1,证明影响了1行数据
再看看数据库
077已添加进去
如果失败了,运行后会显示0
query方法一般是用来执行查询
exec是用来执行其他语句
它的第一个功能就讲完了
接下来说一下第2种事务功能
运行一下,078让它添加,077重复,肯定添加不进去
查看一下数据库:
078在里面,077主键相同不能被添加
在下面加个事务功能
开启事务和提交是对应的,有开启就一定有提交,回滚,是让它回滚到原来的位置
如果添加的话,按理说079可以添加上,077重复,不可以添加,但是加了事务功能后,要么一起成功,要么一起失败,看一下运行后的数据库
079和077的内容都没有被添加上
把重复的077改成080,运行后,看一下数据库内的数据
添加成功!
再来看一下它最后一个功能
还是用nation表来做
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>无标题文档</title>
</head> <body>
<?php //预处理语句防止SQL注入
$dsn = "mysql:dbname=shuang;host=localhost";
$pdo = new PDO($dsn,"root","726");
$code = "n001";
//SQL语句里面需要加占位符?
$sql = "select * from nation where code=?"; //准备执行。返回PDOStatement对象
$st = $pdo->prepare($sql);
//调用绑定参数的方法来绑定参数
$st->bindParam(1,$code);
$st->execute();
$attr = $st->fetchAll();
var_dump($attr); ?>
</body>
</html>
运行后,查到了结果
使用的是分两次来发送到服务器,就不会出现注入攻击了
再做一个添加语句
运行后,再看一下数据库,是否添加成功了
测试1 在数据库内,证明运行成功了
但是考虑到,数据很多的情况下,用上述方法会很麻烦,所以还有一种简单方法
用数组的方式来做,只是索引数组
运行后,来看一下有没有把数据添加到数据库
测试2 在数据库内,运行成功
除了用问号占位符,还可以用字符串占位符
来看一下用字符串占位符怎么做
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>无标题文档</title>
</head> <body>
<?php
$dsn = "mysql:dbname=shuang;host=localhost";
$pdo = new PDO($dsn,"root","726");
//占位符是字符串
$sql = "insert into nation values(:code,:name) ";
$st = $pdo->prepare($sql);
$st->bindParam(":code",$code,PDO::PARAM_STR);
$st->bindParam(":name",$name,PDO::PARAM_STR);
$code = "n009";
$name = "测试3";
$st->execute();
?> </body>
</html>
看看数据库内,有没有加上这条数据
测试3已成功添加
证明用字符串占位符也是可以的
如果调用bindParam方法,就要写参数,这种方法有点麻烦,它还有简便的方法,还可以使用数组的方式
不过这里使用的数组和上面使用的数组就不一样了,上面使用的是索引数组,这里使用的是关联数组
来看一下代码部分怎么写
比刚才的方式简便了许多,array里面的要和sql语句里面的值相对应,来看一下数据库内有没有添加上
测试4,添加成功
看了这么多测试,可能会有人问了,Mysqli和PDO到底使用哪种方式简单
下面来举个例子吧
做个添加的例子
重要的是它的处理页面
只需要五行代码就可以,来实验一下
看一下数据库内
测试5添加成功!
我们想一下,之前使用的Mysqli的方式,还需要取数据,好几行数据的话,还需要取好几个数据
这种方式就是一次性的都过来,这种方式还可以防止注入攻击
说一下防止注入攻击的原理
先把SQL语句外面这些东西发到服务器等待执行,分第二次发送,它的值,来判断code是否等于它。
之前那种方式是把好几个变量拼在一起去执行,那样的话可以让人篡改我们的SQL语句
PDO的这种方式并不能篡改,无论扔什么值都会判断是否相等