PHP – PDO简单概述

1. 何为PDO？

PDO（PHP数据对象） 是一个轻量级的、具备兼容接口的PHP数据链接拓展，是一个PHP官方的PECL库，随PHP 5.1发布，须要PHP 5的面向对象支持，于是在更早的版本上没法使用。它所提供的数据接入抽象层，具备与具体数据库类型无关的优点，为它所支持的数据库提供统一的操做接口。目前支持的数据库有 Cubrid、FreeTDS / Microsoft SQL Server / Sybase、Firebird/Interbase 六、IBM DB二、IBM Informix Dynamic Server、MySQL 3.x/4.x/5.x、Oracle Call Interface、ODBC v3 (IBM DB2, unixODBC and win32 ODBC)、PostgreSQL、SQLite 3 and SQLite 二、Microsoft SQL Server / SQL Azure等。因为PDO是在底层实现的统一的数据库操做接口，于是利用它可以实现更高级的数据库操做，好比存储过程的调度等。

2. PDO实例

下面将实现一个用PDO链接SQLite数据库的实现分页显示的例子，查询的结果输出为JSON数据。

<?php
$cat = isset ($_GET['cat']) ? $_GET['cat'] : "1";
$pg = isset ($_GET['pg']) ? $_GET['pg'] : "1";
 
$limit = 10;
$dbname = 'shelf.sqlite';
try {
$db = new PDO("sqlite:" . $dbname);
$sth = $db->prepare('select * from book where cat_id=:id limit :offset, :limit', array (
PDO :: ATTR_CURSOR => PDO :: CURSOR_FWDONLY
));
 
$result = $sth->execute(array (
':id' => $cat,
':offset' => ($pg -1) * $limit,
':limit' => $limit
));
$list = array ();
$query = $db->query('select count(*) from book where cat_id=' . $cat)->fetch(); //Only 1 row
$list["count"] = $query[0];
if ($result) {
while ($row = $sth->fetch(PDO :: FETCH_ASSOC)) {
$list["books"][] = $row;
}
} else {
print_r($db->errorInfo());
}
 
$db = NULL;
 
echo str_replace('\\/', '/', json_encode($list));
 
} catch (PDOException $ex) {
print_r($ex);
}
?>

3. PDO中的常量

PDO库中定义了一些静态常量，这些常量用PDO :: <NAME>的方式进行调用。好比在prepare()语句中常常这样使用：

$query=$db->prepare('select * from book where cat_id=:id limit :offset, :limit', array (
PDO :: ATTR_CURSOR => PDO :: CURSOR_FWDONLY
));

这里的PDO :: ATTR_CURSOR和PDO :: CURSOR_FWDONLY都是PDO常量，这里将数据库的cursor类型设为forward only。

4. PDO中的链接和链接管理

PDO中的链接是经过建立PDO类的实例而创建的。创造时须要提供数据源名称（DSN）及可选的用户名和密码等参数。在这个过程当中值得注意的是，若是发生异常，PHP的Zend引擎默认操做是将具体的错误信息显示出来，这就带来一个问题：链接信息（数据位置、用户名、密码等）可能遭到泄露。所以，为严防此类不幸的事情发生，必定要显式捕获异常，不管是用try...catch语句仍是用set_exception_handler()函数，隐藏一些敏感数据。所不一样的是，调用set_exception_handler()后代码的执行将终止，而采用try...catch的形式，异常以后的代码将继续执行，正如try...catch语句的原意通常（更多请移步： PHP学习笔记之异常捕获与处理）。

<?php
$db = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
//使用新创建的数据库链接。
//... ...
//链接在PDO实例的生命周期里是活动的。使用完毕后应当关闭此链接，若不这样作PHP在代码结束时才关闭此链接，将占用一部份内存。
$db = null;
?>

固然，事情并不都是这样，有时咱们可能会须要一个永久的链接。具体作法是在PDO的构造函数里再加一个参数：

<?php
$db = new PDO('mysql:host=localhost;dbname=test', $user, $pass, array(
    PDO::ATTR_PERSISTENT => true
));
?>

永久的链接可以跨越代码，在一个代码执行完毕时并未被关闭，而是被缓存起来，以供另外一段拥有一样权限的代码重复使用。这样便没必要每次都新建一个链接，省了很多事不说，还可以加快网站速度。

5. PDO中的查询操做:exec/query/prepared statement

在PDO中有三种方法执行查询操做，分别是用exec、query和使用prepared statement。三种方法各有利弊，先说exec。

（1）PDO::exec()通常用于执行一次的SQL语句，返回受查询影响的行数。它不适用于SELECT语句，若是须要用一次是SELECT语句，能够用PDO::query()；也不适用于屡次使用的语句，若是有屡次使用的需求，考虑用PDO::prepare()。

（2）PDO::query()用于执行一次SELECT语句，执行后应当随即便用PDOStatement::fetch()语句将结果取出，不然当即进行下一次的PDO::query()将会报错。在 2.PDO实例部分，为了获得查询数据的总量，就用了PDO::query()语句。

（3）PDOStatement表示一个prepared statement语句，而在执行以后，又将返回一组关联数组的结果。若是一类查询（查询结构类似而具体的参数不一）须要一次解析而执行使用不少次，能够先用prepared statement，这样能够为具体的查询的执行作好准备，避免了分析、编译、优化的循环，将减小资源占用率，从而提升运行效率。经过对数据库进行prepare操做，便会返回PDOStatement数据类型，从而在其基础上展开execute、fetch等进一步的操做。

$sth = $db->prepare('select * from book where cat_id=:id limit :offset, :limit', array (
PDO :: ATTR_CURSOR => PDO :: CURSOR_FWDONLY
));
//用$limit1获得一个结果
$result1 = $sth->execute(array (
        ':id' => $cat,
        ':offset' => ($pg -1) * $limit1,
        ':limit' => $limit1
    ));

//用$limit2获得另外一个结果
$result2 = $sth->execute(array (
        ':id' => $cat,
        ':offset' => ($pg -1) * $limit2,
        ':limit' => $limit2
    ));

使用prepared statement还有一个好处就是，语句里再也不使用引号，PDO driver已自动完成这一操做，能够防止SQL注入攻击的危险。查询语句里可使用包含名字的（:name）和问号（?）的参数占位符，分别将用associated array 和indexed array传入数值。

//用位置参入参数
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);

//用名称传入参数
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);

$name = 'one';
$value = 1;
$stmt->execute();

/////////////////////////////////////////////
//也能够这样实现
//用位置参入参数，indexed array
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$name = 'one';
$value = 1;
$stmt->execute(array($name,$value));

//用名称传入参数, associated array
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$name = 'one';
$value = 1;
$stmt->execute(array(':name'=>$name,':value'=>$value));

特别注意：查询语句中的占位符应当是占据整个值的位置，若是有模糊查询的符号，应当这样作：

// placeholder must be used in the place of the whole value
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->execute(array("%$_GET[name]%"));

//下面这样就有问题了
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
$stmt->execute(array($_GET['name']));