PDO 学习与使用 ( 一 ) ：PDO 对象、exec 方法、query 方法与防 SQL 注入

1.安装 PDO

数据库抽象层 PDO - PHP Data Object 扩展类库为 PHP 访问数据库定义了一个轻量级的、一致性的接口，它提供了一个数据访问抽象层，针对不同的数据库服务器使用特定的 PDO 驱动程序访问，如图：

Windows 环境下 PHP 5.1 以上版本通过编辑 php.ini文件来安装 PDO：去掉 extension=php_pdo.dll 前面的 ;

如果使用的数据库是 MySQL ，在 php.ini 文件中加载 MySQL 的 PDO 驱动：

添加 extension=php_pdo_mysql.dll 或者去掉该句前面的 ;

查看可用的 PDO 驱动程序，可以编写 php 文件进行查看：

<?php
phpinfo(); 

如图：

或者通过打印 pdo_drivers() 函数来查看：

<?phpprint_r(pdo_drivers());

页面显示：

Array
(
    [0] => mysql
    [1] => sqlite2
)

2.创建 PDO 对象

PDO 对象中的成员方法是统一各种数据库的访问接口，在使用 PDO 与数据库交互之前，要创建 PDO 对象。在 PDO 的构造方法中，有 4 个参数：

1. 数据源名 DSN，用来定义一个确定的数据库和必须用到的驱动程序

2. 连接数据库的用户名

3. 连接数据库的密码，是可选参数

4. 连接所需的所有额外选项，是可选参数

以 MySQL 为例，创建一个 PDO 对象：

//数据源名(DSN)
$dsn = 'mysql:dbname=test;host=127.0.0.1';
$user = "root";
$pwd = "";
$opt = array(PDO::MYSQL_ATTR_INIT_COMMAND => "set names utf8");
$dbh = new PDO($dsn,$user,$pwd,$opt);

这里的第四个参数表示：向客户端发送的 SQL 语句中使用 UTF8 字符集，同时服务器发送回客户端的结果也是用 UTF8 字符集。

3. 调用构造方法

第一种方法是将参数嵌入到构造函数中，上面的例子用的就是这种方法：

<?php
 
//数据源名(DSN)
$dsn = 'mysql:dbname=test;host=127.0.0.1';
 
$user = "root";
$pwd = "";
$opt = array(PDO::MYSQL_ATTR_INIT_COMMAND => "set names utf8");
 
try{
 
    $dbh = new PDO($dsn,$user,$pwd,$opt);
 
}catch(PDOException $e){
 
    echo "数据库连接失败： ".$e->getMessage();
    exit;
}

第二种方法是将 DSN 字符串存放在文件中，例如放在 d 盘相应目录的 dsn.txt 中：

<?php
 
$user = "root";
$pwd = "";
 
try{
 
    $dbh = new PDO('uri:file:///d:\\practise\php\pdo\dsn.txt',$user,$pwd);
}catch(PDOException $e){
 
    echo "数据库连接失败： ".$e->getMessage();
}

这里使用了 uri ( 统一资源标识符 ) 来定位文件的位置。使用 PHP 的语句可以获得当前 uri：

$uri = $_SERVER['REQUEST_URI'];
echo  $uri;  

第三种方法是在 PHP 服务器的配置文件中维护 DSN 信息。

4.执行 SQL 语句

① 当执行 insert、update、delete 等没有结果集的查询时，使用 PDO 的 exec() 方法执行，执行成功后将返回受影响的行数。该方法不能用于 select 查询：

 <?php
 
 //数据源名(DSN)
 $dsn = 'mysql:dbname=test;host=127.0.0.1';
 $user = "root";
 $pwd = "";
 //第4个参数
 $opt = array(PDO::MYSQL_ATTR_INIT_COMMAND => "set names utf8");
 
 try{
 
     $dbh = new PDO($dsn,$user,$pwd,$opt);
 
 }catch(PDOException $e){
 
     echo "数据库连接失败： ".$e->getMessage();
     exit;
 }
 
 $query = "update archives set title = '白夜行' where title = '花的圆舞曲_3'"; 
 
 //使用exec()方法执行insert，update，delete等
 $affected = $dbh->exec($query);
 
 if($affected){
 
     echo '数据表archives中受影响的行数为：'.$affected;
 
 }else{
 
     print_r($dbh->errorInfo());
 }

② 当执行返回结果集的 select 查询时，或者所影响的行数无关紧要时，应当使用 PDO 对象中的 query() 方法，如果该方法成功执行所制定的查询，则返回一个 PDOStatement 对象，并且可以使用 PDOStatement 对象的 rowCount() 方法获取获取的数据行数：

 <?php
 
 //数据源名(DSN)
 $dsn = 'mysql:dbname=test;host=127.0.0.1';
 $user = "root";
 $pwd = "";
 //第4个参数
 $opt = array(PDO::MYSQL_ATTR_INIT_COMMAND => "set names utf8");
 
 try{
 
     $dbh = new PDO($dsn,$user,$pwd,$opt);
     $dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
 
 }catch(PDOException $e){
 
     echo "数据库连接失败： ".$e->getMessage();
     exit;
 }
 
 $query = "select * from archives where title='白夜行'"; 
 
 try{
 
     //执行select查询，并返回PDOstatement对象
     $pdostatement = $dbh->query($query);
     echo "一共从表中获取到".$pdostatement->rowCount()." 条记录:<br>";
     foreach($pdostatement as $row){
 
         echo $row['aid']."<br>";
     }
 }catch(PDOException $e){
 
     echo $e->getMessage();
 }

页面显示：

一共从表中获取到11 条记录:
540
541
544
547
550
553
556
559
562
565
568

5. 使用 PDO 过滤特殊字符，防止 SQL 注入，可以使用 PDO 的 quote() 方法：

$query = "select * from user where uname=".$dbh->quote($_POST['uname'])." and pwd=".$dbh->quote($_POST['pwd']);

参考资料：《细说PHP》第2版