PDO数据访问抽象层

PDO数据访问抽象层：

我们使用的mysqli是针对mysql这个数据库扩展的一个类，如果要用到别的数据库的话就可以用PDO来做

1.操作数据库

先来代码

<!--PDO-->
<!--数据访问抽象层-->
<!--可以访问其他数据库-->
<!--具有事务功能-->
<!--带有预处理语句功能（防止sql注入攻击功能）-->
<?php
//1.造PDO对象
$dsn = "mysql:dbname=heiheihei;host=localhost";
//冒号前面的是驱动名称（mysql），后面是参数：dbname=连接哪一个数据库；连接到本机
$pdo = new PDO($dsn,"root","12345678");
//root（数据库用户名，密码）

//2.写sql语句
$sql = "select * from mydb";
//查询语句


//3.执行sql语句
//$stm = $pdo->query($sql);
//执行查询语句


//4.从PDOStatement对象里面读取数据
//$arr = $stm->fetch(PDO::FETCH_ASSOC);
//返回关联数组，即返回一个索引为结果集列名的数组
//$arr = $stm->fetch(PDO::FETCH_BOTH);
//关联加索引，即返回一个索引为结果集列名和以0开始的列号的数组
//$arr = $stm->fetch(PDO::FETCH_NUM);
//返回索引的数组,即返回一个索引为以0开始的结果集列号的数组
//$arr = $stm->fetch(PDO::FETCH_OBJ);
//返回一个属性名对应结果集列名的匿名对象

//缺省为 PDO::ATTR_DEFAULT_FETCH_MODE 的值，即默认

//如果是PDOStatement::fetchAll，即代表一次性读出所有数据




var_dump($arr);
?>

输出：

调用一下fetch里面的参数为  PDO::FETCH_ASSOC

输出attr，则返回一个索引为结果集列名的数组：

调用一下fetch里面的参数为  PDO::FETCH_NUM

输出attr，则返回一个索引为结果集列名和以0开始的列号的数组：

调用一下fetch里面的参数为  PDO::FETCH_OBJ

输出attr，则返回一个属性名对应结果集列名的匿名对象：

改为fetchALL(PDO::FETCH_OBJ)也可以，它是把所有数据都可以查到：

用PDO来做个添加语句：

<?php
//1.造PDO对象
$dsn = "mysql:dbname=heiheihei;host=localhost";
//冒号前面的是驱动名称（mysql），后面是参数：dbname=连接哪一个数据库；连接到本机
$pdo = new PDO($dsn,"root","12345678");
//root（数据库用户名，密码）

//2.写sql语句

$sql = "insert into mydb VALUES ('虾','123','小虾',0)";
//增删改语句

//3.执行sql语句

$arr = $pdo->exec($sql);
//执行添加语句，exec返回影响的行数

//4.从PDOStatement对象里面读取数据
var_dump($arr);
?>

exec是用来执行其他语句，他返回的是受影响的行数

图：

显示了一个1，证明影响了1行数据；

如果失败了，运行后会显示0

再看一下，数据库内，已经添加成功：

 2.事务功能

事务功能即能够控制语句同时成功或同时失败，失败时可以回滚

事务有三个基本的方法：

PDO::beginTransaction() - 启动一个事务：将下面的代码看作一个事务

commit - 提交事务：是将开始和提交中间的代码看作一个事务一起执行提交

PDO::rollBack() - 回滚一个事务：如果有问题就回滚，没有问题就不用回滚，回滚就是还原

代码：

<?php
$dsn = "mysql:dbname = mydb;host=localhost";
//数据源
$pdo = new PDO($dsn,"root","123");
//造对象


//改事务模式

//1.将PDO的错误类型设为异常模式（PDO::ATTR_ERRMODE，PDO::ERRMODE_EXCEPTION ）
$pdo->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);

//try尝试运行里面代码
try {
//开启事务
    $pdo->beginTransaction();

    $sql = "insert into mydb VALUES ('西','123','小西',0)";
    $sqll = "insert into mydb VALUES ('虾','123','小虾',0)";

    $pdo->exec($sql);
    $pdo->exec($sqll);

//提交事务
    $pdo->commit();
}

//catch抓住异常.控制异常。$e代表异常的数值
catch(Exception $e)
{
//    echo "有错误";

    //回滚操作！！！
    //如果发现有错误，回滚rollback！
    $pdo->rollBack();
}

//最终执行，必执行
//final
//{
   //无论有没有一场出现，该代码都会执行
//}
?>

在我的数据库里面帐号是主键

西是可以添加上的，但是虾有重复是加不上的，因为有事务功能 ，要么一起成功，要么一起失败，所以这两条数据都不会成功

运行完成，查看数据库：

 

果然一条都没有成功！

如果把虾改成对的：

 $sql = "insert into mydb VALUES ('西','123','小西',0)";
    $sqll = "insert into mydb VALUES ('东','123','小东',0)";

一起添加成功！！

 3.预处理语句防止SQL注入:

 他是分两次来发送到输出，就不会出现注入攻击了

（1）占位符“？”方法：

<?php


$dsn = "mysql:dbname=heiheihei;host=localhost";
$pdo = new PDO($dsn,"root","12345678");

//框架
$sql = "insert into mmaa VALUES (?,?)";
//写一个预处理语句，在写参数的地方用占位符“？”代替

    //将预处理语句扔到服务器等待执行，返回PDOStatomont对象;prepare准备,等待执行
$stm = $pdo->prepare($sql);

//第二次将变量（参数）扔到服务器的SQl语句相应位置,给预处理语句绑定参数。binparam绑定参数
//第一个参数第二个参数是
$stm->bindParam(1,$id);
$stm->bindParam(2,$name);

//赋值
$id = 5;
$name = "孙";
//执行
$stm->execute();

这是一个添加语句，让我们来看看添加成功

如果数据过多，上面这种方法会极其麻烦，所以还有一种简单方法

<?php


$dsn = "mysql:dbname=heiheihei;host=localhost";
$pdo = new PDO($dsn,"root","12345678");

//框架
$sql = "insert into mmaa VALUES (?,?)";
//写一个预处理语句，在写参数的地方用占位符“？”代替

    //将预处理语句扔到服务器等待执行，返回PDOStatomont对象;prepare准备,等待执行
$stm = $pdo->prepare($sql);


//定义一个数组,必须是索引数组
$arr = aarray("8","邵");

//执行
$stm->execute($arr);

这上面的这种方法很智能，并且很简便，它可以自动把参数仍到该扔到的地方

（2）名称占位法...

这种方法一目了然，知道该填什么参数

代码：

首先我设一个添加的页面：

<body>
<h1>添加一条数据</h1>
<form action="bbb.php" method="post">
<div>id：<input type="text" name="id"/></div>
    <div>姓名：<input type="text" name="name"/></div>
    <input type="submit" value="点击添加"/>
</form>

</body>

然后我去做处理页面：

<?php
$dsn = "mysql:dbname=heiheihei;host=localhost";
$pdo = new PDO($dsn,"root","12345678");

//预处理语句,括号里不是？了
$sql = "insert into mmaa VALUES (:id,:name)";
$stm = $pdo->prepare($sql);

//执行，$_post里面有id跟name的值，所以直接把post扔进去就好了
$stm->execute($_POST);

添加图：

点击添加，查看数据库：

添加成功了，代码量非常少

PDO常用方法及其应用

PDO::query() 主要是用于有记录结果返回的操作，特别是SELECT操作
PDO::exec() 主要是针对没有结果集合返回的操作，如INSERT、UPDATE等操作
PDO::prepare() 主要是预处理操作，需要通过$rs->execute()来执行预处理里面的SQL语句，这个方法可以绑定参数，功能比较强大（防止sql注入就靠这个）
PDO::lastInsertId() 返回上次插入操作，主键列类型是自增的最后的自增ID
PDOStatement::fetch() 是用来获取一条记录
PDOStatement::fetchAll() 是获取所有记录集到一个集合
PDOStatement::fetchColumn() 是获取结果指定第一条记录的某个字段，缺省是第一个字段
PDOStatement::rowCount() :主要是用于PDO::query()和PDO::prepare()进行DELETE、INSERT、UPDATE操作影响的结果集，对PDO::exec()方法和SELECT操作无效。

 防注入攻击原理：

当调用 prepare() 时，查询语句已经发送给了数据库服务器，此时只有占位符 ? 发送过去，没有用户提交的数据；当调用到 execute()时，用户提交过来的值才会传送给数据库，他们是分开传送的，两者独立的，SQL攻击者没有一点机会。