> 백엔드 개발 > PHP 튜토리얼 > PHP操作MySQL方式选择?

PHP操作MySQL方式选择?

WBOY
풀어 주다: 2016-06-06 20:22:17
원래의
1333명이 탐색했습니다.

之前从书上学习的Mysql操作方式一直都是大致如下的形式

<code>$dbc = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME); 

$query = "select * from products where Category=\"$category\"";

$data = mysqli_query($dbc, $query);

while ($row = mysqli_fetch_array($data)) {...}</code>
로그인 후 복사
로그인 후 복사

现在在别人的项目实现中发现了预处理的方式

<code>$stmt = $this->conn->prepare("SELECT password_hash FROM users WHERE email = ?");
 
$stmt->bind_param("s", $email);
 
$stmt->execute();
 
$stmt->bind_result($password_hash);
 
$stmt->store_result();</code>
로그인 후 복사
로그인 후 복사

好吧 只是面向对象和面向过程2中实现方法罢了..大家无视掉吧

回复内容:

之前从书上学习的Mysql操作方式一直都是大致如下的形式

<code>$dbc = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME); 

$query = "select * from products where Category=\"$category\"";

$data = mysqli_query($dbc, $query);

while ($row = mysqli_fetch_array($data)) {...}</code>
로그인 후 복사
로그인 후 복사

现在在别人的项目实现中发现了预处理的方式

<code>$stmt = $this->conn->prepare("SELECT password_hash FROM users WHERE email = ?");
 
$stmt->bind_param("s", $email);
 
$stmt->execute();
 
$stmt->bind_result($password_hash);
 
$stmt->store_result();</code>
로그인 후 복사
로그인 후 복사

好吧 只是面向对象和面向过程2中实现方法罢了..大家无视掉吧

你看的是教科书吧,哈哈~
只用pdo,不解释~

对于有用户输出参数的查询,直接拼接SQL语句然后query不安全,
查询前应该用mysqli_real_escape_string转义SQL语句中的特殊字符.
不过最好还是用prepare预处理bind_param参数化查询.

<code class="php">//pdo防注入,你值得拥有
$pdo = new PDO("mysql:dbname=test",'root','');
$sql = "SELECT * FROM  category";
$stmt = $pdo->prepare($sql);
$stmt->execute();
// 以数组方式获取结果,并遍历结果
while ($row = $stmt->fetch()) {
    $categories[] = $row;
}
print_r($categories);
</code>
로그인 후 복사

预处理方式是通过增强扩展的Mysqli类实现的,它是MYSQL4.1以后才开始提供的功能,书上一般只会讲默认的实现方式,这样也便于初学者理解PHP连接MYSQL的方法,这本书如果有讲预处理肯定会提到的。

预处理方式我是在做oracle的时候碰到的,当时就震惊了,企业级的数据库就是这么吊,后来才知道mysql也有的,不过确实建议使用预处理来做数据库操作

PHP有三种连接MySQL的方式: mysql_connect(), mysqli, pdo。

mysql_connect()官方已经不推荐使用了,安全性很差。

mysqli和pdo,两种都可以预处理,参数绑定,都能有效防范SQL注入等问题。更推荐使用PDO一些。因为PDO是一个数据库抽象层,支持很多不同的数据库驱动(方便以后更换);支持更友善的命名式变量绑定等。

而PHP因为历史原因,很多库提供了两套使用方式:面向对象的,和面向过程的(函数的,C语言式),mysqli就有过程式和对象式两种。
你给出的第一个例子,就是mysqli的过程式的,而第二种,是对象式的。

扯呢?
只有面向过程和面型对象的两种实现?开啥子玩笑。
PDO的参数绑定以及预处理让传统一大坨addslashes,mysql escape各种杂七杂八的过滤函数全部下岗了。
除了釜底抽薪地解决了sql注入问题外,然后就是绑定预查询,在批量相似查询时效率提高。

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿