hi
昨天又213了,虽然有室友3点多才睡觉的客观影响,但是昨晚不想学东西是本质原因。今天搞起。打算3、4天之内,学完PDO和AJAX这两个,还望大家没事儿来骂骂我,免的我又偷懒。
1、PDO
二、PDO对象的使用(二)
2.2 错误信息
errorCode()——错误号;
errorInfo()——错误信息;
举个栗子
/*
* PDO错误信息
*/
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$resultd=$pdo->exec('delete from user where id=13');
var_dump($resultd);
$insert='insert user(username,password,email) values("Knga","'.md5('king').'","shit@shit.com")';
$result1=$pdo->exec($insert);
var_dump($result1);
if ($result1==false) {
echo "出错了";
echo $pdo->errorCode();
print_r($pdo->errorInfo());
}
看一下错误信息
Array ( [0] => 23000 [1] => 1062 [2] => Duplicata du champ 'Knga' pour la clef 'username' )
0为错误类型,1062是代码,2是错误信息;(这里是由于username设置为了unique键,但是id号是还在增长的其实)。
2.3 query()实现查询
执行一条语句,返回一个PDOstatement对象。
--举个栗子
/*
* PDOquery
*/
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$insert='select * from user';
$result1=$pdo->query($insert);
var_dump($result1); //查看statement对象
foreach ($result1 as $row){ //查看输出结果(根据返回情况)
print_r($row);
}
if ($result1==false) {
echo "出错了";
echo $pdo->errorCode();
print_r($pdo->errorInfo());
}
如果sql语句有问题的话,statement对象是false,然后后面的输出也是错误信息;
如果sql语句正确,但查询的内容是不存在的,那么statement对象没问题,然后输出为空。
当然这样会好看一些:
foreach ($result1 as $row){ //查看输出结果(根据返回情况)
// print_r($row);echo "
";
echo '编号:'.$row['id'];echo "
";
echo '用户名:'.$row['username'];echo "
";
echo '密码:'.$row['password'];echo "
";
echo '邮箱:'.$row['email'];echo "
";
echo "
当然,query执行增删改都是没问题的。
2.4 prepare()和execute()方法实现查询
推荐使用的查询方法,可以实现条件查询。
prepare()——准备要执行的SQL语句,返回PDOstatement对象;
execute()——执行一条预处理语句,返回true或false;
所以上面是一对。
--举个例子
/*
* PDOprepare&execute方法
*/
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$insert='select * from user where username="king"';
$result=$pdo->prepare($insert);
var_dump($result);
$result1=$result->execute();//执行是对预处理语句
var_dump($result1);
print_r($result->fetchAll());//对statement对象才能有结果输出
if ($result1==false) {
echo "出错了";
echo $pdo->errorCode();
print_r($pdo->errorInfo());
}
这里要小心预处理这种特殊情况,分清楚对象到底是谁就好办了。
--选取输出形式
要关联数组输出或者全部或者索引数组,有参数和方法两种不同的方法。
header('content-type:text/html;charset=utf-8');
try{
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','root');
$sql='select * from user';
$stmt=$pdo->prepare($sql);
$res=$stmt->execute();
// if($res){
// while($row=$stmt->fetch(PDO::FETCH_ASSOC)){//仅需要关联数组输出
// print_r($row);
// echo '
一般的我们都是想要索引数组的。
2.5 设置数据库连接属性
setAttribute()——设置数据库连接属性;
getAttribute()——得到数据库连接属性;
--举个例子
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
echo "自动提交".$pdo->getAttribute(PDO::ATTR_AUTOCOMMIT);echo "
然后试着得到一大波属性信息:
$attrArr=array(
'AUTOCOMMIT','ERRMODE','CASE','PERSISTENT','SERVER_INFO','SERVER_VERSION'
);
foreach ($attrArr as $attr){
echo "PDO::ATTR_$attr: ";
echo $pdo->getAttribute(constant("PDO::ATTR_$attr"))."
";
}
有些是没有的,会有错误信息,没什么关系。
三、PDOstatement对象的使用
3.1 quote()方法防止SQL注入
--SQL注入
首先举个例子说明这个简单的SQL注入(其实我也不是很懂——百度一下http://baike.baidu.com/link?url=jiMtgmTeePlWAqdAntWbk-wB8XKP8xS3ZOViJE9IVSToLP_iT2anuUaPdMEM0b-VDknjolQ8BdxN8ycNLohup_)
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
所以也就是要有表单,然后需要跟数据库进行查询数据等等,然后通过恶意的运用规则上的漏洞,得到大量的,而不是页面所希望的数据。栗子如下:
例子为登录的情况——登录需要有用户名密码等,需要与数据库中的信息进行比对;
首先是登录页面
注意这里出现了表单。然后是php文件:
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try {
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$sql="select * from user where username='{$username}' and password='{$password}'";
$stmt=$pdo->query($sql);
echo $stmt->rowCount();//显示结果集statement对象中的行数
} catch (PDOException $e) {
echo $e->getMessage();
}
然后浏览器中打开login.html,输入数据库中有的username和password,点击登陆,会得到1;
若输入错误的信息,一般会得到0;
注意,若输入诸如用户名为'or 1=1#,密码随意,就会轻松得到数据库的所有数据。这是由于sql语句本身的规则造成的。
所以需要过滤用户输入的信息,不要相信用户的所有操作。
--应对方法
echo $pdo->quote($username);
写这么一句,再用上述的作弊代码,输出会多出单引号,以及自动加上:
''or 1=1#'
但这么做的话,$username的调用,会自动加上引号,所以下面的sql语句就要跟着变动:
$username=$pdo->quote($username);
$pdo->exec('use imooc_pdo');
$sql="select * from user where username={$username} and password='{$password}'";
简单的说就是把用户名上个套,对于有数据库的情况,似乎都要防这个。
但是不建议使用这种手段——建议使用prepare execute的预处理手段。
3.2 预处理语句中占位符的使用
很好的防止注入;而且一次编译即可,多次执行,减小系统的开销;
--占位符:(命名参数)(推荐)
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try {
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$sql="select * from user where username=:username and password=:$password";
$stmt=$pdo->prepare($sql);
$stmt->execute(array(":username"=>$username,":password"=>$password));
//$stmt=$pdo->query($sql);
echo $stmt->rowCount();//显示结果集statement对象中的行数
} catch (PDOException $e) {
echo $e->getMessage();
}
对应的sql语句,对应的执行,需要传递的参数也要对应的上。
--占位符?
$sql="select * from user where username=? and password=?";
$stmt=$pdo->prepare($sql);
$stmt->execute(array($username,$password));
感觉?方式要简单一点,就三个点——sql语句中输入占位符 预处理 执行(传递多个数据用array)。
3.3 bindParam()方法绑定参数
把一个参数绑定到变量名。
/*
* 绑定参数
*/
header('content-type:text/html;charset=utf-8');
try {
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$sql="insert user(username,password,email) values(:username,:password,:email)";
$stmt=$pdo->prepare($sql);
$username="Wid";$password="123";$email="324@qq.com"; //定义参数
$stmt->bindParam(":username", $username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password);
$stmt->bindParam(":email",$email);
$stmt->execute();
$res=$pdo->query("select * from user");
foreach ($res as $row){ //查看输出结果(根据返回情况)
// print_r($row);echo "
";
echo '编号:'.$row['id'];echo "
";
echo '用户名:'.$row['username'];echo "
";
echo '密码:'.$row['password'];echo "
";
echo '邮箱:'.$row['email'];echo "
";
echo "
} catch (PDOException $e) {
echo $e->getMessage();
}
其实就是为了不用每次更改sql语句来执行略重复的操作。
当然还可以换个占位符
// $sql="insert user(username,password,email) values(?,?,?)";
// $stmt->bindParam(1,$username);
所以,总之,实际上:占位符会比较清楚,?会混淆。
3.4 bindValue()实现绑定参数
把值绑定到参数中。
/*
* 绑定参数
*/
header('content-type:text/html;charset=utf-8');
尝试 {
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root ','');
$pdo->exec('使用 imooc_pdo');
$sql="插入用户(用户名,密码,电子邮件)值(:用户名,:密码,:电子邮件)" ;
// $sql="插入用户(用户名,密码,电子邮件)值(?,?,?)";
$stmt=$pdo->prepare($sql);
//假设email参数不变
$stmt->bindValue(":email", 'shit@shit.com');
$username="Wade";$password="123";
$stmt->bindParam(":username", $username,PDO::PARAM_STR);
$stmt- >bindParam(":密码",$密码);
$stmt->execute();
$res=$pdo->query("select * from user");
foreach ($res as $row){ //查看输出结果(根据返回情况)
// print_r($row);echo "
";
echo '编号:'.$row['id'];echo "
> ;";
echo '用户名:'.$row['用户名'];echo "
";
echo '密码:'.$row['password'];echo "
";
echo '邮箱:'.$row['email'];echo "
";
echo "
} catch (PDOException $e) {
echo $e->getMessage();
}
应用场景就是当某个值固定不变的时候,就可以固定变量的参数值。
3.5 bindColumn() 方法绑定参数
将绑定一列到php对象。
$pdo=new PDO('mysql:host=localhost;dbname=imooc','root','');
$pdo->exec('use imooc_pdo');
$sql ="select * from user";
$stmt=$pdo->prepare($sql);
$stmt->execute();
//控制输出
$stmt->bindColumn(2, $用户名);
$stmt->bindColumn(3,$password);
$stmt->bindColumn (4,$email);
while ($stmt->fetch(PDO::FETCH_BOUND)){
echo '用户名:'.$用户名.'-密码:'.$password.'-邮箱:'.$email.'
这里的方式就是对输出结果进行控制,有利于输出格式的调节。
当然,可以结果看看集中到底有几列,然后每一列是什么:
echo '结果集中的列数:'.$stmt->columnCount().'
3.6 fetchColumn()从结果集中取一列
上述的 getColumnMeta() 方法实际上在 PHP 该版本中是一个实验性的函数,可能会在以后的版本中消失。
$stmt->execute();
print_r($stmt->fetchColumn(3));
需要注意该方法很蛋疼的地方会每次执行一次,寻找下滑品种,所以只需要指定第几列,但并不知道在哪一行。
3.7 debugDumpParams()打印一条修复语句
在bindParam中测试这个方法:
$stmt->debugDumpParams();
结果是一大堆:
SQL: [71] 插入用户(用户名,密码,电子邮件)值(:用户名,:密码,:电子邮件) 参数: 3 键: 名称: [9] :用户名 paramno=-1 名称=[9] " :username" is_param=1 param_type=2 键:名称:[9] :password paramno=-1 name=[9] ":password" is_param=1 param_type=2 键:名称:[6] :email paramno=-1 name=[6] ":email" is_param=1 param_type=2
拍卖会给出了拍卖时的详细情况。
很明显就是为了调试而生的方法。
3.8 nextRowset()方法取出所有结果集
比如,mysql的存储过程(看我之前mysql的博文有),一下子取出很多结果集,然后对集进行操作。
实际上是指针一步下移就好了。
例子我懒了,不想敲了。。。。
虽然没写很多,就这样吧。
过两天想去复查一下脚,虽然还在痛,不知道还敢不敢活血了。。。。