1.安装 PDO

数据库抽象层 PDO - PHP Data Object 扩展类库为 PHP 访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,针对不同的数据库服务器使用特定的 PDO 驱动程序访问,如图:

Windows 环境下 PHP 5.1 以上版本通过编辑 php.ini文件来安装 PDO:去掉 extension=php_pdo.dll 前面的 ;

如果使用的数据库是 MySQL ,在 php.ini 文件中加载 MySQL 的 PDO 驱动:

添加 extension=php_pdo_mysql.dll 或者去掉该句前面的 ;

查看可用的 PDO 驱动程序,可以编写 php 文件进行查看:

<?php

phpinfo();

如图:

或者通过打印 pdo_drivers() 函数来查看:

<?phpprint_r(pdo_drivers());

页面显示:

Array

(

    [0] => mysql

    [1] => sqlite2

)

2.创建 PDO 对象

PDO 对象中的成员方法是统一各种数据库的访问接口,在使用 PDO 与数据库交互之前,要创建 PDO 对象。在 PDO 的构造方法中,有 4 个参数:

1. 数据源名 DSN,用来定义一个确定的数据库和必须用到的驱动程序

2. 连接数据库的用户名

3. 连接数据库的密码,是可选参数

4. 连接所需的所有额外选项,是可选参数

以 MySQL 为例,创建一个 PDO 对象:

//数据源名(DSN)

$dsn = 'mysql:dbname=test;host=127.0.0.1';

$user = "root";

$pwd = "";

$opt = array(PDO::MYSQL_ATTR_INIT_COMMAND => "set names utf8");

$dbh = new PDO($dsn,$user,$pwd,$opt);

这里的第四个参数表示:向客户端发送的 SQL 语句中使用 UTF8 字符集,同时服务器发送回客户端的结果也是用 UTF8 字符集。

3. 调用构造方法

第一种方法是将参数嵌入到构造函数中,上面的例子用的就是这种方法:

<?php

//数据源名(DSN)

$dsn = 'mysql:dbname=test;host=127.0.0.1';

$user = "root";

$pwd = "";

$opt = array(PDO::MYSQL_ATTR_INIT_COMMAND => "set names utf8");

try{

    $dbh = new PDO($dsn,$user,$pwd,$opt);

}catch(PDOException $e){

    echo "数据库连接失败: ".$e->getMessage();

    exit;

}

第二种方法是将 DSN 字符串存放在文件中,例如放在 d 盘相应目录的 dsn.txt 中:

<?php

$user = "root";

$pwd = "";

try{

    $dbh = new PDO('uri:file:///d:\\practise\php\pdo\dsn.txt',$user,$pwd);

}catch(PDOException $e){

    echo "数据库连接失败: ".$e->getMessage();

}

这里使用了 uri ( 统一资源标识符 ) 来定位文件的位置。使用 PHP 的语句可以获得当前 uri:

$uri = $_SERVER['REQUEST_URI'];

echo  $uri;

第三种方法是在 PHP 服务器的配置文件中维护 DSN 信息。

4.执行 SQL 语句

① 当执行 insert、update、delete 等没有结果集的查询时,使用 PDO 的 exec() 方法执行,执行成功后将返回受影响的行数。该方法不能用于 select 查询:

 <?php

 //数据源名(DSN)

 $dsn = 'mysql:dbname=test;host=127.0.0.1';

 $user = "root";

 $pwd = "";

 //第4个参数

 $opt = array(PDO::MYSQL_ATTR_INIT_COMMAND => "set names utf8");

 try{

     $dbh = new PDO($dsn,$user,$pwd,$opt);

 }catch(PDOException $e){

     echo "数据库连接失败: ".$e->getMessage();

     exit;

 }

 $query = "update archives set title = '白夜行' where title = '花的圆舞曲_3'"; 

 //使用exec()方法执行insert,update,delete等

 $affected = $dbh->exec($query);

 if($affected){

     echo '数据表archives中受影响的行数为:'.$affected;

 }else{

     print_r($dbh->errorInfo());

 }

② 当执行返回结果集的 select 查询时,或者所影响的行数无关紧要时,应当使用 PDO 对象中的 query() 方法,如果该方法成功执行所制定的查询,则返回一个 PDOStatement 对象,并且可以使用 PDOStatement 对象的 rowCount() 方法获取获取的数据行数:

 <?php

 //数据源名(DSN)

 $dsn = 'mysql:dbname=test;host=127.0.0.1';

 $user = "root";

 $pwd = "";

 //第4个参数

 $opt = array(PDO::MYSQL_ATTR_INIT_COMMAND => "set names utf8");

 try{

     $dbh = new PDO($dsn,$user,$pwd,$opt);

     $dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);

 }catch(PDOException $e){

     echo "数据库连接失败: ".$e->getMessage();

     exit;

 }

 $query = "select * from archives where title='白夜行'"; 

 try{

     //执行select查询,并返回PDOstatement对象

     $pdostatement = $dbh->query($query);

     echo "一共从表中获取到".$pdostatement->rowCount()." 条记录:<br>";

     foreach($pdostatement as $row){

         echo $row['aid']."<br>";

     }

 }catch(PDOException $e){

     echo $e->getMessage();

 }

页面显示:

一共从表中获取到11 条记录:
540
541
544
547
550
553
556
559
562
565
568

5. 使用 PDO 过滤特殊字符,防止 SQL 注入,可以使用 PDO 的 quote() 方法:

$query = "select * from user where uname=".$dbh->quote($_POST['uname'])." and pwd=".$dbh->quote($_POST['pwd']);

参考资料:《细说PHP》第2版

PDO 学习与使用 ( 一 ) :PDO 对象、exec 方法、query 方法与防 SQL 注入的更多相关文章

  1. PDO 学习与使用 ( 二 ) PDO 数据提取 和 预处理语句

    以数据库 msg 为例,说明 PDO 的数据提取.预处理语句: mysql> show tables;+---------------+| Tables_in_msg |+----------- ...

  2. PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO(PDO一是PHP数据对象(PHP Data Object)的缩写),可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_ ...

  3. 【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  4. PDO防sql注入原理分析

    使用pdo的预处理方式可以避免sql注入. 在php手册中'PDO--预处理语句与存储过程'下的说明: 很多更成熟的数据库都支持预处理语句的概念.什么是预处理语句?可以把它看作是想要运行的 SQL 的 ...

  5. JavaSE入门学习12: Java面相对象之static使用方法

    我们能够基于一个类创建多个该类的对象,每一个对象都拥有自己的成员,互相独立. 然而在某些时候,我们更希 望该类全部的对象共享同一个成员. 此时就是static大显身手的时候了. Java中被stati ...

  6. pdo防sql注入

    http://blog.csdn.net/qq635785620/article/details/11284591

  7. 5月11日 python学习总结 子查询、pymysql模块增删改查、防止sql注入问题

    一.子查询 子查询:把一个查询语句用括号括起来,当做另外一条查询语句的条件去用,称为子查询 select emp.name from emp inner join dep on emp.dep_id ...

  8. 使用PDO执行SQL语句exec()、query()

    在PHP脚本中,通过PDO执行SQL查询与数据库进行交互,可以分为三种不同的策略,使用哪一种方法取决于你要做什么操作. 1.使用PDO::exec()方法 当执行INSERT.UPDATE和DELET ...

  9. 如何使用PDO查询Mysql来避免SQL注入风险?ThinkPHP 3.1中的SQL注入漏洞分析!

    当我们使用传统的 mysql_connect .mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制.虽然可以用mysql_real_escape_ ...

随机推荐

  1. 学习配置vsftp 进行ftp文件的传输

    一. FTP 说明 linux 系统下常用的FTP 是vsftp, 即Very Security File Transfer Protocol. 还有一个是proftp(Profession ftp) ...

  2. 一、HTML和CSS基础--HTML+CSS基础课程--第2部分

    第三章 与浏览器交互,表单标签 使用表单标签,与用户交互
网站怎样与用户进行交互?答案是使用HTML表单(form).表单是可以把浏览者输入的数据传送到服务器端,这样服务器端程序就可以处理表单传过来的 ...

  3. svn: warning: 'xxxxxx' is already under version control

    [root@NGINX-APACHE-SVN pm]# svn status ? plugins ? files ? images ? data ? resources [root@NGINX-APA ...

  4. oracle的启动过程(各个模式启动)

    启动模式详解 1.NoMount 模式(启动实例不加载数据库) 命令:startup nomount 讲解:这种启动模式只会创建实例,并不加载数据库,Oracle仅为实例创建各种内存结构和服务进程,不 ...

  5. loj 1026( tarjan + 输出割边 )

    题目链接:http://lightoj.com/volume_showproblem.php?problem=1026 思路:Tarjan 算法简单应用.割边的特点:low[v]>dfn[u]( ...

  6. uva 10972(边双连通分量)

    题目链接:http://acm.hust.edu.cn/vjudge/problem/viewProblem.action?id=33804. 思路:和poj的一道题有点像,不过这道题图可能不连通,因 ...

  7. oracle中如何对字符串进行去除空格的方法

    oracle中如何对字符串进行去除空格的方法 今天学习了一下oracle中如何对字符串进行去除空格的方法,这里总结一下.了解到的方法主要有两种:Trim函数以及Replace函数.下面我详细的介绍一下 ...

  8. html 绘图渐变和图片填充

    包括线性渐变和径向渐变 <!DOCTYPE html> <html> <head lang="en"> <meta charset=&qu ...

  9. DFS+模拟 ZOJ 3861 Valid Pattern Lock

    题目传送门 /* 题意:手机划屏解锁,一笔连通所有数字,输出所有可能的路径: DFS:全排列 + ok () 判断函数,去除一些不可能连通的点:) */ #include <cstdio> ...

  10. BZOJ4361 : isn

    设$f[i]$表示长度为$i$的不下降子序列的个数. 考虑容斥,对于长度为$i$的子序列,如果操作不合法,那么之前一定是一个长度为$i+1$的子序列,所以答案$=\sum_{i=1}^n(f[i]\t ...