PHP中对mysql预编译查询语句的一个封装

原文地址：http://chen-shan.net/?p=474

为了防止sql注入,我们都使用过mysqli这个类,但是每次都需要绑定参数,绑定结果等,比较麻烦,所以可以把这些重复的语句封装成一个函数.

一.封装前.

传统的一个预编译方式的”select”查询代码:

$id = "1";
$name = "test_name";

$db_obj = new mysqli("localhost", "db_user", "db_passwd", "db");
$db_obj->set_charset("utf8");

$query = "SELECT column1, column2, column3, column4 FROM tb_test WHERE id = ? and name = ?";
$stmt = $db_obj->prepare($query);
$stmt->bind_param("is", $id, $name);
$stmt->execute();

$stmt->bind_result($column1, $column2, $column3, $column4);
while ($stmt->fetch()) {
    $result = array();
    $result['column1'] = $column1;
    $result['column2'] = $column2;
    $result['column3'] = $column3;
    $result['column4'] = $column4;
    $results[] = $result;
}

/* The result stored in array $results */
print_r($results);

二.封装后.

封装函数 (忘了是根据php手册中哪条评论修改得来的了) 如下:

/*
 * 执行预编译形式的mysql语句
 *
 * @$query       (string)  --  查询语句，例如："SELECT * FROM table WHERE id = ?"
 * @$params     （array）  --  绑定参数,例如：array('i', $id)
 * @$resultFlag （string)  --  是否为含有返回结果的查询，注意!!!: 为“select”查询时为“false”，为“insert”,"delete" 与 "update" 时为“true”
 * @$closeFlag  （string)  --  是否关闭数据库连接句柄, 关闭为 "ture", 不关闭为 "false"
 */

function _queryStmt($db_obj, $query, $params, $resultFlag, $closeFlag) {
    $mysqli = $db_obj;

    $stmt = $mysqli->prepare($query);
    call_user_func_array(array($stmt, 'bind_param'), _refValues($params));   //绑定参数
    $stmt->execute();

    //$resultFlag为true,则为“insert”,"delete" 与 "update"操作,无需绑定结果;false则为 “select”操作,需要绑定查询结果.
    if ($resultFlag) {

        $result = $mysqli->affected_rows;   //进行了修改的行数

    } else {

        $meta = $stmt->result_metadata();

        //将结果绑定数组元素设置为引用状态,因为call_user_func_array(array($stmt, 'bind_result'), $parameters)中的回调函数参数$parameters需要引用状态.
        while ($field = $meta->fetch_field()) {
            $parameters[] = &$row[$field->name];
        }

        call_user_func_array(array($stmt, 'bind_result'), _refValues($parameters));  //绑定结果

        //有多行记录时将多行记录存入$results数组中.
        while ($stmt->fetch()) {
            $x = array();
            foreach ($row as $key => $val) {
                $x[$key] = $val;
            }
            $results[] = $x;
        }

        $result = $results;
    }

    $stmt->close();

    //$closeFlag为true则需要关闭数据库句柄
    if($closeFlag) {
        $mysqli->close();
    }

    return $result;
}

/*
 * 作用:把返回的数组中的元素变为引用状态.
 * (如果$arr为含有引用状态元素的数组,则会影响调用者的参数数组,反之则反)
 */

function _refValues($arr) {
    if (strnatcmp(phpversion(), '5.3') >= 0) { //Reference is required for PHP 5.3+
        $refs = array();
        foreach ($arr as $key => $value) {
            $refs[$key] = &$arr[$key];
        }
        return $refs;
    }
    return $arr;
}

封装函数中有两点需要注意:一个是mysqli_stmt::bind_param方法与mysqli_stmt::bind_result方法都为可变函数,所以需要使用call_user_func_array()这个函数进行回调;第二个是以上两个方法所需要的参数都为引用形式,所以在使用call_user_func_array()函数进行回调时要特别小心,所以才有封装函数中_refValues()的必要.

调用如下:

$id = "1";
$name = "test_name";

$db_obj = new mysqli("localhost", "db_user", "db_passwd", "db");
$db_obj->set_charset("utf8");

$query = "SELECT column1, column2, column3, column4 FROM tb_test WHERE uid = ? and name = ?";
$params = array("is", $id, $name);
$results = _queryStmt($db_obj, $query, $params, FALSE, TRUE);

/* The result stored in array $results */
print_r($results);

这里只是举例了 “SELECT” 语句,此函数还可以应用于 “INSERT”, “DELETE”, “UPDATE”等, 只是要注意把函数_queryStmt()中的第四个参数设为 TRUE,因为没有记录数据的返回.

封装的函数也可以当作你mysql操作类中的一个方法.使用形式可以多种多样!