Explication détaillée de PHP PDO

Cet article présente principalement en détail la classe PDO en PHP. La classe PDO peut aider les utilisateurs à utiliser plus facilement les bases de données en PHP. J'espère que cela sera utile à tous ceux qui utilisent PDO.

Introduction

Jetons un coup d'œil à la classe PDO. PDO est l'abréviation de PHP Data Objects, décrit comme « une interface légère et compatible pour accéder aux bases de données en PHP ». Malgré son nom désagréable, PDO est un moyen sympathique d'accéder aux bases de données en PHP.
Les différences par rapport à MySQLi

MySQLi et PDO sont très similaires, avec deux différences principales :

1. MySQLi ne peut accéder qu'à MySQL, mais PDO peut accéder à 12 bases de données différentes

2. PDO n'a pas d'appels de fonction ordinaires (mysqli_*functions)

Étapes de démarrage

Tout d'abord, vous devez confirmer si le plug-in PDO est installé sur votre PHP. . Vous pouvez utiliser le résultat de $test=new PDO() pour tester. Si l'invite indique que les paramètres ne correspondent pas, cela prouve que le plug-in PDO a été installé. S'il indique que l'objet n'existe pas, vous devez d'abord confirmer si php_pdo_yourssqlserverhere.extis est commenté dans pho.ini. S’il n’y a pas une telle phrase, alors vous devez installer PDO, je n’entrerai donc pas dans les détails ici.

Connectez-vous

Maintenant, nous confirmons que le serveur fonctionne et commençons à nous connecter à la base de données :

$dsn = 'mysql:dbname=demo;host=localhost;port=3306';
$username = 'root';
$password = 'password_here';
try {
 $db = new PDO($dsn, $username, $password); // also allows an extra parameter of configuration
} catch(PDOException $e) {
 die(&#39;Could not connect to the database:<br/>&#39; . $e);
}

Toutes les instructions et variables sont explicites, à l'exception de $dsn. DSN fait référence au nom de la source de données et il existe plusieurs types d'entrée. Le plus courant est celui que nous venons d'utiliser. Le site officiel de PHP explique les autres DSN disponibles.

Vous pouvez omettre d'autres paramètres supplémentaires du DSN et simplement mettre deux points après le pilote de base de données, tel que (mysql :). Dans ce cas, PDO tentera de se connecter à la base de données locale. Tout comme lorsque vous utilisez MySQLi, vous devez spécifier le nom de la base de données dans la requête.

La dernière chose que vous devez noter est que nous enveloppons notre objet d'initialisation avec un bloc try-catch. Une exception PDOException sera levée lorsque la connexion PDO échoue au lieu de lorsque la requête échoue. Si vous le souhaitez, vous pouvez utiliser le code suivant $db=line pour sélectionner le mode d'exception.

$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

Ou vous pouvez passer des paramètres directement lors de l'initialisation du PDO :

$db = new PDO($dsn, $username, $password, array (
 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
));

Ce que nous utilisons maintenant n'est pas la bonne méthode : il suffit de renvoyer false en cas d'échec. Il n'y a aucune raison pour que nous ne gérions pas les exceptions.

Requête de base

L'utilisation des méthodes de requête et d'exécution dans PDO rend les requêtes de base de données très simples. Si vous souhaitez obtenir le nombre de lignes dans le résultat de la requête, exec est très simple à utiliser, il est donc très utile pour les instructions de requête SELECT.

Regardons maintenant les deux méthodes avec un exemple ci-dessous :

$statement = <<<SQL
 SELECT *
 FROM `foods`
 WHERE `healthy` = 0
SQL;
 
$foods = $db->query($statement);

Supposons notre requête C'est vrai, $foods est maintenant un objet PDO Statement, nous pouvons l'utiliser pour obtenir nos résultats ou vérifier combien d'ensembles de résultats ont été trouvés dans cette requête.

Nombre de lignes

L'inconvénient est que PDO ne fournit pas de méthode unifiée pour calculer le nombre de lignes renvoyées. L'instruction PDO contient une méthode appelée rowCount, mais il n'est pas garanti que cette méthode fonctionne dans tous les pilotes SQL (heureusement, elle peut fonctionner dans la base de données Mysql).

Si votre pilote SQL ne prend pas en charge cette méthode, vous avez également 2 options : utiliser une requête secondaire (SELECT COUNT(*)) ou utiliser un simple décompte ($foods) pour obtenir le nombre de lignes.

Heureusement pour notre exemple MySQL, nous pouvons utiliser la méthode simple suivante pour afficher le nombre correct de lignes.

echo $foods->rowCount();

Parcourir l'ensemble de résultats

Imprimer ces délicieuses friandises Non difficile :

foreach($foods->FetchAll() as $food) {
 echo $food[&#39;name&#39;] . &#39;<br />&#39;;
}

La seule chose à noter est que PDO prend également en charge la méthode Fetch, qui ne renverra que le premier résultat , ce qui est très utile pour interroger un seul jeu de résultats.

Échapper à la saisie utilisateur (caractères spéciaux)

Avez-vous déjà entendu parler de (mysqli_) real_escape_string, qui est utilisé pour garantir que les utilisateurs saisissent des données sécurisées. PDO fournit une méthode appelée quote, qui peut échapper les caractères spéciaux entre guillemets dans la chaîne d'entrée.

$input: this is's' a '''pretty dange'rous str'ing

Après nous être échappés, nous obtenons finalement le résultat suivant :

$db->quote($input): 'this is\'s\' a \'\'\'pretty dange\'rous str\'ing'
exec()

Comme mentionné ci-dessus, vous pouvez utiliser la méthode exec() pour implémenter les opérations UPDATE, DELETE et INSERT Après l'exécution, elle renverra le nombre de lignes affectées :

.

$statement = <<<SQL
 DELETE FROM `foods`
 WHERE `healthy` = 1;
SQL;
 
echo $db->exec($statement); // outputs number of deleted rows

Déclarations préparées

Bien que les méthodes d'exécution et les requêtes soient encore largement utilisées dans PHP Utilisation et le support, mais le site officiel de PHP exige toujours que tout le monde utilise des instructions préparées à la place. Pourquoi? Principalement parce que : c'est plus sûr. Les instructions préparées n'insèrent pas de paramètres directement dans la requête réelle, ce qui évite de nombreuses injections SQL potentielles.

Cependant, pour une raison quelconque, PDO n'utilise pas réellement le prétraitement. Il simule le prétraitement et insère les données de paramètres dans l'instruction avant de les transmettre au serveur SQL, ce qui rend certains systèmes vulnérables à l'injection SQL.

如果你的SQL服务器不真正的支持预处理,我们可以很容易的通过如下方式在PDO初始化时传参来修复这个问题:

$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

接下来开始我们的第一个预处理语句吧：

$statement = $db->prepare('SELECT * FROM foods WHERE `name`=? AND `healthy`=?');
$statement2 = $db->prepare('SELECT * FROM foods WHERE `name`=:name AND `healthy`=:healthy)';

正如你所见，有两种创建参数的方法，命名的与匿名的（不可以同时出现在一个语句中）。然后你可以使用bindValue来敲进你的输入：

$statement->bindValue(1, 'Cake');
$statement->bindValue(2, true);
 
$statement2->bindValue(':name', 'Pie');
$statement2->bindValue(':healthy', false);

注意使用命名参数的时候你要包含进冒号(:)。PDO还有一个bindParam方法，可以通过引用绑定数值，也就是说它只在语句执行的时候查找相应数值。

现在剩下的唯一要做的事情，就是执行我们的语句：

$statement->execute();
$statement2->execute();
 
// Get our results:
$cake = $statement->Fetch();
$pie = $statement2->Fetch();

为了避免只使用bindValue带来的代码碎片，你可以用数组给execute方法作为参数，像这样：

$statement->execute(array(1 => 'Cake', 2 => true));
$statement2->execute(array(':name' => 'Pie', ':healthy' => false));

事务

前面我们已经描述过了什么是事务：

一个事务就是执行一组查询,但是并不保存他们的影响到数据库中。这样做的好处是如果你执行了4条相互依赖的插入语句,当有一条失败后,你可以回滚使得其他的数据不能够插入到数据库中,确保相互依赖的字段能够正确的插入。你需要确保你使用的数据库引擎支持事务。
开启事务

你可以很简单的使用beginTransaction()方法开启一个事务：

$db->beginTransaction();
 
$db->inTransaction(); // true!

然后你可以继续执行你的数据库操作语句，在最后提交事务：

$db->commit();

还有类似MySQLi中的rollBack()方法，但是它并不是回滚所有的类型（例如在MySQL中使用DROP TABLE）,这个方法并不是真正的可靠，我建议尽量避免依赖此方法。

其他有用的选项

有几个选项你可以考虑用一下。这些可以作为你的对象初始化时候的第四个参数输入。

 $options = array($option1 => $value1, $option[..]);
$db = new PDO($dsn, $username, $password, $options);

PDO::ATTR_DEFAULT_FETCH_MODE

你可以选择PDO将返回的是什么类型的结果集，如PDO::FETCH_ASSOC，会允许你使用$result['column_name']，或者PDO::FETCH_OBJ，会返回一个匿名对象，以便你使用$result->column_name

你还可以将结果放入一个特定的类（模型），可以通过给每一个单独的查询设置一个读取模式，就像这样：

$query = $db->query('SELECT * FROM `foods`');
$foods = $query->fetchAll(PDO::FETCH_CLASS, 'Food');

- 所有读取模式

上面我们已经解释过这一条了，但喜欢TryCatch的人需要用到：PDO::ERRMODE_EXCEPTION。如果不论什么原因你想抛出PHP警告，就使用PDO::ERRMODE_WARNING。

PDO::ATTR_TIMEOUT

当你为载入时间而着急时,你可以使用此属性来为你的查询指定一个超时时间，单位是秒. 注意，如果超过你设置的时间，缺省会抛出E_WARNING异常, 除非 PDO::ATTR_ERRMODE 被改变.

更多属性信息可以在 PHP官网的属性设置 里查看到.
最后的思考

PDO是一个在PHP中访问你的数据库的很棒的方式，可以认为是最好的方式。除非你拒绝使用面向对象的方法或是太习惯 MySQLi 的方法名称，否则没有理由不使用PDO。

更好的是完全切换到只使用预处理语句，这最终将使你的生活更轻松！

相关推荐：

php如何利用PDO访问oracle数据库的方法详解

PHP中关于PDO数据访问抽象层的功能操作的介绍

使用PDO操作MySQL数据库的实例分享（收藏）

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!