原文地址:http://chen-shan.net/?p=474
为了防止sql注入,我们都使用过mysqli这个类,但是每次都需要绑定参数,绑定结果等,比较麻烦,所以可以把这些重复的语句封装成一个函数.
一.封装前.
传统的一个预编译方式的”select”查询代码:
$id = "1";
$name = "test_name";
$db_obj = new mysqli("localhost", "db_user", "db_passwd", "db");
$db_obj->set_charset("utf8");
$query = "SELECT column1, column2, column3, column4 FROM tb_test WHERE id = ? and name = ?";
$stmt = $db_obj->prepare($query);
$stmt->bind_param("is", $id, $name);
$stmt->execute();
$stmt->bind_result($column1, $column2, $column3, $column4);
while ($stmt->fetch()) {
$result = array();
$result['column1'] = $column1;
$result['column2'] = $column2;
$result['column3'] = $column3;
$result['column4'] = $column4;
$results[] = $result;
}
/* The result stored in array $results */
print_r($results);
二.封装后.
封装函数 (忘了是根据php手册中哪条评论修改得来的了) 如下:
/*
* 执行预编译形式的mysql语句
*
* @$query (string) -- 查询语句,例如:"SELECT * FROM table WHERE id = ?"
* @$params (array) -- 绑定参数,例如:array('i', $id)
* @$resultFlag (string) -- 是否为含有返回结果的查询,注意!!!: 为“select”查询时为“false”,为“insert”,"delete" 与 "update" 时为“true”
* @$closeFlag (string) -- 是否关闭数据库连接句柄, 关闭为 "ture", 不关闭为 "false"
*/
function _queryStmt($db_obj, $query, $params, $resultFlag, $closeFlag) {
$mysqli = $db_obj;
$stmt = $mysqli->prepare($query);
call_user_func_array(array($stmt, 'bind_param'), _refValues($params)); //绑定参数
$stmt->execute();
//$resultFlag为true,则为“insert”,"delete" 与 "update"操作,无需绑定结果;false则为 “select”操作,需要绑定查询结果.
if ($resultFlag) {
$result = $mysqli->affected_rows; //进行了修改的行数
} else {
$meta = $stmt->result_metadata();
//将结果绑定数组元素设置为引用状态,因为call_user_func_array(array($stmt, 'bind_result'), $parameters)中的回调函数参数$parameters需要引用状态.
while ($field = $meta->fetch_field()) {
$parameters[] = &$row[$field->name];
}
call_user_func_array(array($stmt, 'bind_result'), _refValues($parameters)); //绑定结果
//有多行记录时将多行记录存入$results数组中.
while ($stmt->fetch()) {
$x = array();
foreach ($row as $key => $val) {
$x[$key] = $val;
}
$results[] = $x;
}
$result = $results;
}
$stmt->close();
//$closeFlag为true则需要关闭数据库句柄
if($closeFlag) {
$mysqli->close();
}
return $result;
}
/*
* 作用:把返回的数组中的元素变为引用状态.
* (如果$arr为含有引用状态元素的数组,则会影响调用者的参数数组,反之则反)
*/
function _refValues($arr) {
if (strnatcmp(phpversion(), '5.3') >= 0) { //Reference is required for PHP 5.3+
$refs = array();
foreach ($arr as $key => $value) {
$refs[$key] = &$arr[$key];
}
return $refs;
}
return $arr;
}
封装函数中有两点需要注意:一个是mysqli_stmt::bind_param方法与mysqli_stmt::bind_result方法都为可变函数,所以需要使用call_user_func_array()这个函数进行回调;第二个是以上两个方法所需要的参数都为引用形式,所以在使用call_user_func_array()函数进行回调时要特别小心,所以才有封装函数中_refValues()的必要.
调用如下:
$id = "1";
$name = "test_name";
$db_obj = new mysqli("localhost", "db_user", "db_passwd", "db");
$db_obj->set_charset("utf8");
$query = "SELECT column1, column2, column3, column4 FROM tb_test WHERE uid = ? and name = ?";
$params = array("is", $id, $name);
$results = _queryStmt($db_obj, $query, $params, FALSE, TRUE);
/* The result stored in array $results */
print_r($results);
这里只是举例了 “SELECT” 语句,此函数还可以应用于 “INSERT”, “DELETE”, “UPDATE”等, 只是要注意把函数_queryStmt()中的第四个参数设为 TRUE,因为没有记录数据的返回.
封装的函数也可以当作你mysql操作类中的一个方法.使用形式可以多种多样!