本任务以示例数据库Sakila为例,介绍如何使用面向对象mysqli,实现对数据库的参数化查询,重点是掌握PHP预处理语句的使用。
1、面向对象mysqli
Task16已经介绍了PHP访问数据库的三种方式:面向过程mysqli,面向对象mysqli,PDO。建议大家使用面向对象mysqli访问MySQL数据库。在需要访问其它类型数据库的时候,建议使用PDO。
使用面向对象mysqli访问(查询)数据库的基本过程如下:
2、query()方法
Mysqli类的query()方法,第2个参数默认值是MYSQLI_STORE_RESULT,另一个可选值是MYSQLI_USE_RESULT。
MYSQLI_STORE_RESULT:到数据库执行查询,并将结果保存到mysqli_result类对象。之后fetch时相当于在本地取数据。
MYSQLI_USE_RESULT:启动逐行检索,实际上本次并没有查询,直到fetch时,每次向数据库请求一个结果行。
总结:MYSQLI_STORE_RESULT 将查询结果缓存,处理效率较高,但内存开销比较大;MYSQLI_USE_RESULT有较低内存需求,但处理过程中需保留数据库连接。建议,使用MYSQLI_STORE_RESULT时优化SQL查询返回尽量少的数据;在需要返回大量数据时使用MYSQLI_USE_RESULT。
参阅:mysql中的MYSQLI_USE_RESULT和MYSQLI_STORE_RESULT模式分析。
2、SQL查询
对数据库的任何操作,不管是DQL(SELECT),还是DML(INSERT,UPDATE,DELETE),或者DDL(CREATE),只要写成SQL语句,交给mysqli类对象的query()方法就可以。因此:
可以执行简单的SELECT的查询,如查询Customer表某些列;
可以执行较为复杂的查询,如多表连接查询;
可以查询视图(因为可以把视图看成是单表);
可以执行存储过程;参看《PHP调用MYSQL存储过程实例》
也可以对数据库进行添加、更新、删除操作,下个任务会讲;
还可以建表、删表、增加或删除数据表列,等等。
只要能描述成SQL语句,都可以交给query()函数去执行。
3、SQL查询时,遇到特殊列,如何处理?
本任务教学视频中提到,当有如下SQL查询时:
对于带有空格的列名,使用$row = $result->fetch_assoc();方法提取记录时,没有问题,可以使用$row['zip code']获取该列值。但使用$row = $result->fetch_object();方法提取记录时,使用$row->zip code或$row->zip_code都是错误的。解决办法有二:
(1)如上图所示,给列名`zip code`起别名zip_code,可以使用$row->zip_code获取该列值。
(2)直接使用$row->{'zip code'}。
4、有参数的SQL语句(参数化查询)
为什么SQL语句需要有参数?
例如:我需要查询Customer表中id号为15的客户信息,SQL语句是:$sql='SELECT first_name,last_name FROM customer WHERE customer_id=15';
但这里的客户ID号一般是由用户在网页表单上输入的,如:
$id = $_POST['id'];
这时你就要把用户输入的$id拼接在原来sql语句字符串里面,写成这样:
$sql='SELECT first_name,last_name FROM customer WHERE customer_id='.$id;
虽然PHP支持字符串里面变量转义,但在原理上是与字符串拼接是一回事的:
$sql="SELECT first_name,last_name FROM customer WHERE customer_id={$id}";
字符串拼接带来的最主要的问题是SQL注入漏洞,造成你的网站存在很大的安全问题。比如,在输入id号的文本框中用户输入的是这样的内容:
20;insert into staff(`username`,`password`) values('hacker', 'cracked')
这样,他就很轻松地在你的数据库里面增加了一个店员(管理员)了。如果你是用MySQL数据库的root账户来建立查询的,他简直就可以为所欲为了(添加一个管理员账户?改root账户密码?)
所有我们必须使用有参数的SQL语句。因为参数限定了用户输入值只能与参数对应列匹配,从而避免了SQL注入。
Mysqli的SQL语句的参数只能使用?, 对参数赋值只能按先后顺序进行赋值。PDO可以使用命名参数。
5、有参数的SQL语句,使用prepare()函数来建立预处理语句
注意几点:
(1)使用mysqli时,bind_param()方法绑定参数的顺序与类型一定要与sql语句中?的顺序与类型保持严格一致;
s-string, i-integer, d-double, b-blob
(2)执行Select查询时,需要使用bind_result()方法绑定结果变量,结果变量顺序与SQL语句中列名顺序一致。
(3)使用execute()方法执行查询后,要使用store_result()方法将结果缓存,保存到mysqli_stmt对象,之后使用fetch()方法才能提取到每行记录的数据。
6、掌握mysqli_stmt对象的以下方法
bind_param():绑定参数变量。
bind_result():绑定结果变量,对select查询需要。
execute():执行预处理语句定义的查询。
store_result():保存查询结果,对select查询必须。
fetch():从结果中提取记录到绑定的结果变量
7、课后练习
先参照课件,完成对Sakila数据库Customer表的参数化查询。不懂的地方再回顾视频,或者QQ上问我。
有基础以后,试试自己编写检索程序,按特定条件查询Sakila数据库其它表的数据(如查询有什么名字的影片,查询xxx主演电影有哪些,顾客中有哪些是中国的)
也可以使用自己创建的数据库,或你前期上其它课程建立的数据库,练习下PHP条件查询的实现。
考虑到大家线下练习比较困难,最近基本上没有布置实验作业,有条件的请根据上述要求做下练习。返校后,将把一些本应布置的实验作业内容整合到实训中去练习。