我了个大擦-PDO(二)


  hi

昨天又213了,虽然有室友3点多才睡觉的客观影响,但是昨晚不想学东西是本质原因。今天搞起。打算3、4天之内,学完PDO和AJAX这两个,还望大家没事儿来骂骂我,免的我又偷懒。

1、PDO

二、PDO对象的使用(二)

2.2 错误信息

errorCode()——错误号;

errorInfo()——错误信息;

举个栗子

<?php
/*
* PDO错误信息
*/

$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');

$pdo->exec('use imooc_pdo');
$resultd=$pdo->exec('delete from user where id=13');
var_dump($resultd);
$insert='insert user(username,password,email) values("Knga","'.md5('king').'","shit@shit.com")';
$result1=$pdo->exec($insert);
var_dump($result1);

if ($result1==false) {
echo "出错了";
echo $pdo->errorCode();
print_r($pdo->errorInfo());
}

看一下错误信息

Array ( [0] => 23000 [1] => 1062 [2] => Duplicata du champ 'Knga' pour la clef 'username' )

0为错误类型,1062是代码,2是错误信息;(这里是由于username设置为了unique键,但是id号是还在增长的其实)。

2.3 query()实现查询

执行一条语句,返回一个PDOstatement对象。

--举个栗子

<?php

/*
* PDOquery
*/

$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');

$pdo->exec('use imooc_pdo');

$insert='select * from user';
$result1=$pdo->query($insert);
var_dump($result1);  //查看statement对象
foreach ($result1 as $row){  //查看输出结果(根据返回情况)
print_r($row);
}
if ($result1==false) {
echo "出错了";
echo $pdo->errorCode();
print_r($pdo->errorInfo());
}

如果sql语句有问题的话,statement对象是false,然后后面的输出也是错误信息;

如果sql语句正确,但查询的内容是不存在的,那么statement对象没问题,然后输出为空。

当然这样会好看一些:

foreach ($result1 as $row){ //查看输出结果(根据返回情况)
//print_r($row);echo "<br/>";
echo '编号:'.$row['id'];echo "<br/>";
echo '用户名:'.$row['username'];echo "<br/>";
echo '密码:'.$row['password'];echo "<br/>";
echo '邮箱:'.$row['email'];echo "<br/>";
echo "<hr/>";
}

当然,query执行增删改都是没问题的。

2.4 prepare()和execute()方法实现查询

推荐使用的查询方法,可以实现条件查询。

prepare()——准备要执行的SQL语句,返回PDOstatement对象;

execute()——执行一条预处理语句,返回true或false;

所以上面是一对。

--举个例子

<?php
/*
* PDOprepare&execute方法
*/

$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');

$pdo->exec('use imooc_pdo');

$insert='select * from user where username="king"';
$result=$pdo->prepare($insert);
var_dump($result);

$result1=$result->execute();//执行是对预处理语句
var_dump($result1);

print_r($result->fetchAll());//对statement对象才能有结果输出

 

if ($result1==false) {
echo "出错了";
echo $pdo->errorCode();
print_r($pdo->errorInfo());
}

这里要小心预处理这种特殊情况,分清楚对象到底是谁就好办了。

--选取输出形式

要关联数组输出或者全部或者索引数组,有参数和方法两种不同的方法。

<?php
header('content-type:text/html;charset=utf-8');
try{
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','root');
$sql='select * from user';
$stmt=$pdo->prepare($sql);
$res=$stmt->execute();
//if($res){
//while($row=$stmt->fetch(PDO::FETCH_ASSOC)){//仅需要关联数组输出
//print_r($row);
//echo '<hr/>';
//}
//}
//$rows=$stmt->fetchAll(PDO::FETCH_ASSOC);
//print_r($rows);
echo '<hr/>';
$stmt->setFetchMode(PDO::FETCH_ASSOC);//同样的实现效果,用这个方法也可以,设置默认模式
//var_dump($stmt);
$rows=$stmt->fetchAll();
print_r($rows);
}catch(PDOException $e){
echo $e->getMessage();
}

一般的我们都是想要索引数组的。

2.5 设置数据库连接属性

setAttribute()——设置数据库连接属性;

getAttribute()——得到数据库连接属性;

--举个例子

$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
echo "自动提交".$pdo->getAttribute(PDO::ATTR_AUTOCOMMIT);echo "<hr/>";
//记住pdo是个对象,所以得到属性,你懂的。然后它内部是有很多设定好的属性值的,这就是我们得到属性的前提。
echo "默认的错误处理模式:".$pdo->getAttribute(PDO::ATTR_ERRMODE);echo "<hr/>";
$pdo->setAttribute(PDO::ATTR_AUTOCOMMIT, 0);
echo "自动提交".$pdo->getAttribute(PDO::ATTR_AUTOCOMMIT);echo "<hr/>";

然后试着得到一大波属性信息:

$attrArr=array(
'AUTOCOMMIT','ERRMODE','CASE','PERSISTENT','SERVER_INFO','SERVER_VERSION'
);
foreach ($attrArr as $attr){
echo "PDO::ATTR_$attr: ";
echo $pdo->getAttribute(constant("PDO::ATTR_$attr"))."<br/>";
}

有些是没有的,会有错误信息,没什么关系。

 

三、PDOstatement对象的使用

3.1 quote()方法防止SQL注入

--SQL注入

首先举个例子说明这个简单的SQL注入(其实我也不是很懂——百度一下http://baike.baidu.com/link?url=jiMtgmTeePlWAqdAntWbk-wB8XKP8xS3ZOViJE9IVSToLP_iT2anuUaPdMEM0b-VDknjolQ8BdxN8ycNLohup_)

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

所以也就是要有表单,然后需要跟数据库进行查询数据等等,然后通过恶意的运用规则上的漏洞,得到大量的,而不是页面所希望的数据。栗子如下:

例子为登录的情况——登录需要有用户名密码等,需要与数据库中的信息进行比对;

首先是登录页面

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html>
<title>登录</title>
</head>
<body>
<form action='doAction.php' method='post'>
用户名:<input type='text' name='username'/><br/>
密码:<input type='password' name='password'/><br/>
<input type='submit' value='登录'/>
</form>
</body>
</html>

注意这里出现了表单。然后是php文件:

<?php
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try {
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$sql="select * from user where username='{$username}' and password='{$password}'";
$stmt=$pdo->query($sql);
echo $stmt->rowCount();//显示结果集statement对象中的行数

} catch (PDOException $e) {
echo $e->getMessage();
}

然后浏览器中打开login.html,输入数据库中有的username和password,点击登陆,会得到1;

若输入错误的信息,一般会得到0;

注意,若输入诸如用户名为'or 1=1#,密码随意,就会轻松得到数据库的所有数据。这是由于sql语句本身的规则造成的。

所以需要过滤用户输入的信息,不要相信用户的所有操作。

--应对方法

echo $pdo->quote($username);

写这么一句,再用上述的作弊代码,输出会多出单引号,以及自动加上\:

 '\'or 1=1#'

但这么做的话,$username的调用,会自动加上引号,所以下面的sql语句就要跟着变动:

$username=$pdo->quote($username);
$pdo->exec('use imooc_pdo');
$sql="select * from user where username={$username} and password='{$password}'";

简单的说就是把用户名上个套,对于有数据库的情况,似乎都要防这个。

但是不建议使用这种手段——建议使用prepare+execute的预处理手段

3.2 预处理语句中占位符的使用

很好的防止注入;而且一次编译即可,多次执行,减小系统的开销;

--占位符:(命名参数)(推荐)

<?php
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try {
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$sql="select * from user where username=:username and password=:$password";
$stmt=$pdo->prepare($sql);
$stmt->execute(array(":username"=>$username,":password"=>$password));
//$stmt=$pdo->query($sql);
echo $stmt->rowCount();//显示结果集statement对象中的行数

} catch (PDOException $e) {
echo $e->getMessage();
}

对应的sql语句,对应的执行,需要传递的参数也要对应的上。

--占位符?  

$sql="select * from user where username=? and password=?";
$stmt=$pdo->prepare($sql);
$stmt->execute(array($username,$password));

感觉?方式要简单一点,就三个点——sql语句中输入占位符+预处理+执行(传递多个数据用array)。

3.3 bindParam()方法绑定参数

把一个参数绑定到变量名。 

<?php
/*
* 绑定参数
*/

header('content-type:text/html;charset=utf-8');
try {
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$sql="insert user(username,password,email) values(:username,:password,:email)";
$stmt=$pdo->prepare($sql);
$username="Wid";$password="123";$email="324@qq.com"; //定义参数
$stmt->bindParam(":username", $username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password);
$stmt->bindParam(":email",$email);
$stmt->execute();
$res=$pdo->query("select * from user");
foreach ($res as $row){ //查看输出结果(根据返回情况)
//print_r($row);echo "<br/>";
echo '编号:'.$row['id'];echo "<br/>";
echo '用户名:'.$row['username'];echo "<br/>";
echo '密码:'.$row['password'];echo "<br/>";
echo '邮箱:'.$row['email'];echo "<br/>";
echo "<hr/>";
}

} catch (PDOException $e) {
echo $e->getMessage();
}

其实就是为了不用每次更改sql语句来执行略重复的操作。 

当然还可以换个占位符

// $sql="insert user(username,password,email) values(?,?,?)";

//$stmt->bindParam(1,$username);

所以,总之,实际上:占位符会比较清楚,?会混淆。

3.4 bindValue()实现绑定参数

把值绑定到参数中。

<?php

/*
* 绑定参数
*/

header('content-type:text/html;charset=utf-8');
try {
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$sql="insert user(username,password,email) values(:username,:password,:email)";
//$sql="insert user(username,password,email) values(?,?,?)";
$stmt=$pdo->prepare($sql);

//假设email参数不变
$stmt->bindValue(":email", 'shit@shit.com');
$username="Wade";$password="123";
$stmt->bindParam(":username", $username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password);
$stmt->execute();
$res=$pdo->query("select * from user");
foreach ($res as $row){ //查看输出结果(根据返回情况)
//print_r($row);echo "<br/>";
echo '编号:'.$row['id'];echo "<br/>";
echo '用户名:'.$row['username'];echo "<br/>";
echo '密码:'.$row['password'];echo "<br/>";
echo '邮箱:'.$row['email'];echo "<br/>";
echo "<hr/>";
}


} catch (PDOException $e) {
echo $e->getMessage();
}

应用场景就是当某个值固定不变的时候,就可以固定变量的参数值。

3.5 bindColumn()方法绑定参数

将绑定一列到php对象。

$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$sql="select * from user";
$stmt=$pdo->prepare($sql);
$stmt->execute();
//控制输出
$stmt->bindColumn(2, $username);
$stmt->bindColumn(3,$password);
$stmt->bindColumn(4,$email);
while ($stmt->fetch(PDO::FETCH_BOUND)){
echo '用户名:'.$username.'-密码:'.$password.'-邮箱:'.$email.'<hr/>';
}

这里的用法就是对输出结果进行控制,利于输出格式的调控。

当然,可以看看结果集中到底有几列,然后每一列是什么:

echo '结果集中的列数:'.$stmt->columnCount().'<hr/>';
print_r($stmt->getColumnMeta(2));

3.6 fetchColumn()从结果集中取一列

上述的getColumnMeta()方法实际上在PHP该版本中是个实验的函数,可能会在将来的版本中消失。

$stmt->execute();

print_r($stmt->fetchColumn(3));

需要注意该方法很蛋疼的地方在于会每执行一次,指针向下一位,所以只需要指定第几列,但并不知道在哪一行。

3.7 debugDumpParams()打印一条预处理语句

在bindParam中测试这个方法:

$stmt->debugDumpParams();

结果是一大堆:

SQL: [71] insert user(username,password,email) values(:username,:password,:email) Params: 3 Key: Name: [9] :username paramno=-1 name=[9] ":username" is_param=1 param_type=2 Key: Name: [9] :password paramno=-1 name=[9] ":password" is_param=1 param_type=2 Key: Name: [6] :email paramno=-1 name=[6] ":email" is_param=1 param_type=2

也就是说会给出预处理时的详细情况。

很明显就是为了Debug而生的方法。

3.8 nextRowset()方法取出所有结果集

用于比如,mysql的存储过程(看我之前mysql的博文就有),一下子取出很多结果集,然后对集进行操作。

实际上是指针一步步下移就好了。

例子我懒了,不想敲了。。。。

 

虽然没写很多,就这样吧。

过两天想去复查一下脚,虽然还在痛,不知道还敢不敢活血了。。。。

 

本站声明
本文转载自:http://www.cnblogs.com/andy1202go/p/5061077.html     作者:韧还     发布日期:2015/12/20     本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。


 
© 2014-2017 ITdaan.com 粤ICP备14056181号