要說 PDO 中最強大的功能,除了為不同的資料庫提供了統一的介面之外,更重要的就是它的預處理能力,也就是 PDOStatement 所提供的功能,因為它的存在,才讓我們可以安心地去使用而不用操心 SQL 陳述句的拼接不好所帶來的安全風險問題,當然,預處理也為我們提升了陳述句的執行效率,可以說是 PDO 的另一大殺器,
PDOStatement 類
PDOStatement 類其實就是代表一條預處理陳述句,并在該陳述句被執行后代表一個相關的結果集,它提供一些方法,讓我們能夠對這條預處理陳述句進行操作,
$dns = 'mysql:host=localhost;dbname=blog_test;port=3306;charset=utf8';
$pdo = new PDO($dns, 'root', '', [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]);
$stmt = $pdo->prepare("select * from zyblog_test_user");
// PDOStatement 物件的內容
var_dump($stmt);
// object(PDOStatement)#2 (1) {
// ["queryString"]=>
// string(57) "select * from zyblog_test_user where username = :username"
// }
PDOStatement 物件是通過 PDO 物件的 prepare() 方法回傳的一個物件,它沒有建構式,也就是說我們不能直接實體化一個 PDOStatement 物件,它包含一個只讀屬性,也就是我們要執行的 SQL 陳述句,保存在 queryString 中,
PDOStatement 錯誤處理
接下來我們先看看 PDOStatement 的兩個錯誤資訊方法,
// 沒有指定例外處理狀態下的錯誤資訊函式
$pdo_no_exception = new PDO($dns, 'root', '');
$errStmt = $pdo_no_exception->prepare("select * from errtable");
$errStmt->execute();
var_dump($errStmt->errorCode()); // string(5) "42S02"
var_dump($errStmt->errorInfo());
// array(3) {
// [0]=>
// string(5) "42S02"
// [1]=>
// int(1146)
// [2]=>
// string(40) "Table 'blog_test.errtable' doesn't exist"
// }
在之前的文章中,我們學習過,如果不給 PDO 物件指定錯誤處理格式的話,它會使用回傳錯誤碼和錯誤資訊的方式處理錯誤,在這種情況下,如果預處理的陳述句有問題,我們就可以通過 errorCode() 和 errorInfo() 方法來獲得錯誤的代碼和錯誤的詳細資訊,不過,還是更加推薦指定 PDO 的錯誤處理方式為拋出例外,就像最上面我們定義的 PDO 物件那樣,這樣我們就可以通過 try...catch 來處理錯誤例外了,
PDOStatement FETCH_MODE 指定
// 為陳述句設定默認的獲取模式,
$stmt->setFetchMode(PDO::FETCH_ASSOC);
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
var_dump($row);
}
// array(4) {
// ["id"]=>
// string(1) "1"
// ["username"]=>
// string(3) "aaa"
// ["password"]=>
// string(3) "aaa"
// ["salt"]=>
// string(3) "aaa"
// }
// ……
為查詢結構指定 FETCH_MODE 是通過 setFetchMode() 方法來實作的,之前我們也講過,通過 PDO 物件的屬性可以指定默認的查詢結果集模式,不過在 PDOStatement 中,也可以通過這個方法來為當前的這一次預處理陳述句的查詢指定 FETCH_MODE ,
PDOStatement 獲取列數量及欄位資訊
// 回傳結果集列數、回傳結果集中一列的元資料
$stmt = $pdo->prepare("select * from zyblog_test_user");
$stmt->execute();
var_dump($stmt->columnCount()); // int(4)
var_dump($stmt->getColumnMeta(0));
// array(7) {
// ["native_type"]=>
// string(4) "LONG"
// ["pdo_type"]=>
// int(2)
// ["flags"]=>
// array(2) {
// [0]=>
// string(8) "not_null"
// [1]=>
// string(11) "primary_key"
// }
// ["table"]=>
// string(16) "zyblog_test_user"
// ["name"]=>
// string(2) "id"
// ["len"]=>
// int(11)
// ["precision"]=>
// int(0)
// }
columnCount() 可以回傳我們當前查詢結果集中的列的數量,關于行的數量獲得的方法我們將在下篇文章中再介紹,
getColumnMeta() 方法則是獲取結果集中一列的元資料,它的引數是列的序號,從 1 開始的序號,在這里我們獲取的是第一列,也就是 id 列的資訊,從列印的結果,可以看到這個列的名稱、精確度(precisiion)、長度、型別、所屬的表名、屬性(主鍵、非空)這些資訊,是不是感覺非常有用,不過這個方法是實驗性質的,有可能在未來的 PHP 版本中進行修改,不是正式的固定方法,而且并不是所有資料庫連接驅動都支持這個方法,
PDOStatement 列印出一條預處理陳述句包含的資訊
$stmt = $pdo->prepare("select * from zyblog_test_user where username=? and salt = ?");
$username = 'aaa';
$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindValue(2, 'aaa', PDO::PARAM_STR);
$stmt->execute();
var_dump($stmt->debugDumpParams());
// SQL: [60] select * from zyblog_test_user where username=? and salt = ?
// Sent SQL: [68] select * from zyblog_test_user where username='aaa' and salt = 'aaa'
// Params: 2
// Key: Position #0:
// paramno=0
// name=[0] ""
// is_param=1
// param_type=2
// Key: Position #1:
// paramno=1
// name=[0] ""
// is_param=1
// param_type=2
debugDumpParams() 也是很好玩的一個方法,它直接列印出當前執行的 SQL 陳述句的資訊,注意,它和 var_dump() 、 php_info() 這類函式一樣,是直接列印的,不是將結果回傳到一個變數中,還記得我們怎么將這種函式的內容保存到變數中嗎?還搞不懂PHP中的輸出緩沖控制?,
從列印的結果來看,它能回傳真實執行的 SQL 陳述句以及相關的一些引數資訊,對于日常的開發除錯來說絕對是一個神器啊,很多小伙伴都會受困于 PDO 預處理的陳述句如果獲取到真實的執行陳述句,而這個方法只需要我們簡單的封裝一下,就可以從里面提取出真實的執行陳述句了哦!
兩個 MySQL 擴展不支持的屬性
// MySQL 驅動不支持 setAttribute
$stmt->setAttribute(PDO::ATTR_CURSOR, PDO::CURSOR_FWDONLY);
// Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support setting attributes
// MySQL 驅動不支持 getAttribute
var_dump($stmt->getAttribute(PDO::ATTR_AUTOCOMMIT));
// Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support getting attributes
這兩個方法對于 MySQL 擴展驅動來說是不支持的,但是有其它的資料庫是支持的,筆者沒有測驗過其它資料庫,大家可以自行測驗一下,
系結欄位
接下來就是重點內容了,在預處理陳述句中,我們可以使用占位符來系結變數,從而達到安全處理查詢陳述句的作用,通過占位符,我們就不用去自己拼裝處理帶單引號的欄位內容了,從而避免了 SQL 注入的發生,注意,這里并不是可以處理所有的 SQL 注入問題,比如字符集問題的 寬位元組 注入 ,
占位符包含兩種形式,一種是使用 :xxx 這種形式的名稱占位符,: 后面的內容可以是自己定義的一個名稱,另一種形式就是使用問號占位符,當使用問號占位符的時候,我們系結的是欄位的下標,下標是從 1 開始的,這點是需要注意的地方,我們直接通過示例來看看,
bindParam
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");
$username = 'ccc';
$passwrod = '333';
$salt = 'c3';
$stmt->bindParam(':username', $username);
$stmt->bindParam(':pass', $password);
$stmt->bindParam(':salt', $salt);
$stmt->execute();
// bindParam 問號占位符
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");
$username = 'ccc';
$passwrod = '333';
$salt = 'c3';
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);
$stmt->execute();
在這段代碼中,我們分別使用了兩種形式的占位符來實作了資料的插入,當然,預處理陳述句和占位符是任何操作陳述句都可以使用的,它的作用就是用系結的值來替換陳述句中的占位符所在位置的內容,不過它只是使用在 values 、 set 、 where 、 order by 、 group by 、 having 這些條件及對欄位的操作中,有興趣的同學可以試試用占位符來表示一個表名會是什么結果,
bindParam() 方法是系結一個引數到指定的變數名,在這個方法中,系結的變數是作為參考被系結,并且只能是一個變數,不能直接給一個常量,這點我們在后面講和 bindValue() 的區別時再詳細講解,一些驅動支持呼叫存盤程序的輸入/輸出操作,也可以使用這個方法來系結,我們將在后面的文章中講解,
bindValue
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");
$username = 'ddd';
$passwrod = '444';
$salt = 'd4';
$stmt->bindValue(':username', $username);
$stmt->bindValue(':pass', $password);
$stmt->bindValue(':salt', $salt);
$stmt->execute();
咦?它的用法和 bindParam() 一樣呀?沒錯,它們的作用也是一樣的,系結一個引數到值,注意,這里是系結到值,而 bindParam() 是系結到變數,在正常情況下,你可以將它們看作是一樣的操作,但是,其實它們有很大的不同,我們直接就來看它們的區別,
bindParam 和 bindValue 的區別
首先,bindValue() 是可以系結常量的,
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");
//$stmt->bindParam(':username', 'ccc');
// Fatal error: Uncaught Error: Cannot pass parameter 2 by reference
$stmt->bindValue(':username', 'ccc');
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
var_dump($row);
}
// array(4) {
// ["id"]=>
// string(2) "19"
// ["username"]=>
// string(3) "ccc"
// ["password"]=>
// string(3) "bbb"
// ["salt"]=>
// string(2) "c3"
// }
// ……
如果我們使用 bindParam() 來指定第二個引數值為常量的話,它會直接報錯,bindParam() 的第二個引數是作為參考型別的變數,不能指定為一個常量,
其次,因為bindParam() 是以參考方式系結,它的變數內容是可變的,所以在任何位置定義系結的變數都不影響它的預處理,而 bindValue() 是定義后就立即將引數進行系結的,所以下面的代碼使用 bindValue() 是無法獲得結果的($username 在 bindValue() 之后才賦值),
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");
$stmt->bindValue(':username', $username);
$username = 'ccc';
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
var_dump($row);
}
//
必須要保證變數在 bindValue() 之前被賦值,
$username = 'ccc';
$stmt->bindValue(':username', $username);
當然,bindParam() 就不存在這樣的問題了,我們可以在 bindParam() 之后再給它指定的變數賦值,
$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");
$stmt->bindParam(':username', $username);
$username = 'ddd';
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
var_dump($row);
}
// array(4) {
// ["id"]=>
// string(1) "8"
// ["username"]=>
// string(3) "ddd"
// ["password"]=>
// string(3) "bbb"
// ["salt"]=>
// string(2) "d4"
// }
// ……
這下對 bindParam() 和 bindValue() 的區別就非常清楚了吧?總結一下:
-
bindParam() 必須系結變數,變數是參考形式的引數,只要在 execute() 之前完成系結都可以
-
bindValue() 可以系結常量,如果是系結的變數,那么變數賦值要在 bindValue() 陳述句執行之前完成,否則系結的就是一個空的資料
bindColumn
這個方法是用于系結查詢結果集的內容的,我們可以將查詢結果集中指定的列系結到一個特定的變數中,這樣就可以在 fetch() 或 fetchAll() 遍歷結果集時通過變數來得到列的值,
這個方法在實際應用中用到的比較少,所以很多小伙伴可能是只聞其名不見其身,我們還是通過代碼來看看,
$stmt = $pdo->prepare("select * from zyblog_test_user");
$stmt->execute();
$stmt->bindColumn(1, $id);
$stmt->bindColumn(2, $username, PDO::PARAM_STR);
$stmt->bindColumn("password", $password);
$stmt->bindColumn("salt", $salt, PDO::PARAM_INT); // 指定型別強轉成了 INT 型別
// 不存在的欄位
// $stmt->bindColumn(5, $t);
//Fatal error: Uncaught PDOException: SQLSTATE[HY000]: General error: Invalid column index
while($row = $stmt->fetch(PDO::FETCH_BOUND)){
$data = https://www.cnblogs.com/zyblog-coder/p/['id'=>$id,
'username'=>$username,
'password'=>$password,
'salt'=>$salt,
];
var_dump($data);
}
// array(4) {
// ["id"]=>
// string(1) "1"
// ["username"]=>
// string(3) "aaa"
// ["password"]=>
// string(3) "aaa"
// ["salt"]=>
// int(0)
// }
// array(4) {
// ["id"]=>
// string(1) "2"
// ["username"]=>
// string(3) "bbb"
// ["password"]=>
// string(3) "bbb"
// ["salt"]=>
// int(123)
// }
// ……
// 外部獲取變數就是最后一條資料的資訊
$data = https://www.cnblogs.com/zyblog-coder/p/['id'=>$id,
'username'=>$username,
'password'=>$password,
'salt'=>$salt,
];
print_r($data);
// Array
// (
// [id] => 2
// [username] => bbb
// [password] => bbb
// [salt] => bbb
// )
在代碼中,我們使用的是 * 來獲得的查詢結果集,然后就可以通過問號占位符或者列名來將列系結到變數中,接著在 fetch() 的遍歷程序中,就可以通過變數直接獲取每一條資料的相關列的值,需要注意的是,為變數賦值的作用域僅限于在執行 fetch() 方法之后,從代碼的結構中我們就可以看出,bindColumn() 方法對于變數也是作為參考的方式系結到 PDOStatement 物件內部的,所以 fetch() 在處理的時候就直接為這些變數賦上了值,
bindCloumn() 方法后面的引數是可選的欄位型別,這個引數在 bindParam() 和 bindValue() 中都是存在的,也都是可選的,如果獲取的型別和我們系結時定義的型別不同,那么 PDOStatement 就會強轉為系結時指定的型別,例如上面例子中我們將本身為 varchar 型別的 salt 欄位強轉為 int 型別之后就輸出的都是 int 型別了,除了這個引數之外,還有一些其它可選的引數,大家可以自行查閱相關的檔案,
fetch() 回圈結束后,變數中依然保留著最后一行結果集的內容,所以在使用的時候要注意如果外部有其它地方使用這些變數的話,是否需要重新賦值或者清理掉它們,
execute 直接傳遞引數
最后,如果我們不想這么麻煩地去系結欄位或者變數,也可以直接在 execute() 方法中直接傳遞引數,它是類似于 bindValue() 的形式進行欄位系結的,
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");
$stmt->execute([
':username'=>'jjj',
':pass'=>'888',
':salt'=>'j8'
]);
// 使用問號占位符的話是按從0開始的下標
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");
$stmt->execute(['jjjj','8888','j8']);
execute() 的這個系結引數是一個陣列,在使用問號占位符的時候需要注意,在這里,按陣列的下標來說,它們是從 0 開始算位置的,
另外需要注意的是,PDOStatement 物件的操作都是使用 execute() 方法來進行陳述句執行的,這個方法只會回傳一個布林值,也就是成功或者失敗,不像 PDO 物件的 exec() 方法回傳的是受影響的條數,如果是查詢類的陳述句,我們需要在 execute() 之后呼叫 fetch() 之類的方法遍歷結果集,而增、刪、改之類的操作,則需要通過 rowCount() 來獲得回傳的執行結果條數,相關的內容我們也將在之后的文章一起詳細講解,
總結
劃重點的時刻又到咯!今天我們學習的主要是 PDOStatement 物件的一些不太常用但很好玩的方法,另外就是占位符系結的問題,其中最主要的就是 bindParam() 和 bindValue() 的區別,下篇文章我們主要就是要學習 PDOStatement 中的查詢相關的操作,這個可不能丟呀,大家一定不要遲到!
測驗代碼:
https://github.com/zhangyue0503/dev-blog/blob/master/php/202009/source/PHP%E4%B8%AD%E7%9A%84PDO%E6%93%8D%E4%BD%9C%E5%AD%A6%E4%B9%A0%EF%BC%88%E4%B8%89%EF%BC%89%E9%A2%84%E5%A4%84%E7%90%86%E7%B1%BB%E5%8F%8A%E7%BB%91%E5%AE%9A%E6%95%B0%E6%8D%AE.php
參考檔案:
https://www.php.net/manual/zh/class.pdostatement.php
===============
關注公眾號:【硬核專案經理】獲取最新文章
添加微信/QQ好友:【xiaoyuezigonggong/149844827】免費得PHP、專案管理學習資料
知乎、公眾號、抖音、頭條搜索【硬核專案經理】
B站ID:482780532
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/288037.html
標籤:PHP
上一篇:Java集合
