PHP PDO 轻量级的数据库统一的接口

PDO（PHP Data Objects）是PHP中用于访问数据库的一个轻量级的、统一的接口，它提供了一种与多种不同数据库系统进行交互的通用方式。

概述

主要特点

• 统一的API：无论使用哪种数据库（如MySQL、PostgreSQL、Oracle等），都可以使用相同的函数来执行基本的数据库操作，如查询、插入、更新和删除等，大大提高了代码的可移植性和可维护性。
• 面向对象：以面向对象的方式进行数据库操作，将数据库连接、查询执行、结果获取等操作都封装在对象和方法中，使代码更清晰、易于理解和管理。
• 支持预处理语句：有效防止SQL注入攻击，提高了查询的性能，因为预处理语句可以被数据库缓存并重复使用。
• 错误处理：提供了灵活的错误处理机制，能够以不同的方式处理数据库操作过程中出现的错误，方便开发者进行调试和错误排查。

基本使用

以下是使用PDO连接MySQL数据库并执行简单查询的基本示例：

try {
    // 创建PDO对象，连接数据库
    $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
    // 设置错误模式为异常
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 准备SQL语句
    $stmt = $pdo->prepare("SELECT * FROM users WHERE age > :age");
    $age = 18;
    // 绑定参数
    $stmt->bindParam(':age', $age, PDO::PARAM_INT);
    // 执行查询
    $stmt->execute();

    // 获取结果集
    $result = $stmt->fetchAll(PDO::FETCH_ASSOC);
    foreach ($result as $row) {
        echo $row['name']. " - ". $row['email']. "<br>";
    }
} catch (PDOException $e) {
    // 捕获并处理异常
    echo "连接失败: ". $e->getMessage();
}

核心方法和属性

• 构造方法：用于创建PDO对象并建立与数据库的连接，需要传入数据库的数据源名称（DSN）、用户名和密码等参数。
• prepare()方法：用于准备要执行的SQL语句，返回一个PDOStatement对象，该对象可用于绑定参数和执行查询。
• execute()方法：在准备好的语句上执行查询，如果查询是一个SELECT语句，则返回true或false表示查询是否成功执行；如果是INSERT、UPDATE或DELETE语句，则返回受影响的行数。
• fetch()和fetchAll()方法：用于从结果集中获取一行或所有行的数据，可指定获取数据的格式，如关联数组、对象等。
• lastInsertId()方法：返回最后插入行的自增长ID，通常在执行INSERT操作后使用。
• ATTR_ERRMODE属性：用于设置错误处理模式，可设置为PDO::ERRMODE_SILENT（默认，不显示错误信息）、PDO::ERRMODE_WARNING（显示警告信息）或PDO::ERRMODE_EXCEPTION（抛出异常）。

支持的数据库类型

PHP PDO（PHP Data Objects）支持多种数据库，以下是一些常见的数据库：

关系型数据库

• MySQL：最流行的开源关系型数据库之一，具有高性能、可靠性和易用性。PDO提供了对MySQL 4.1及以上版本的良好支持，通过PDO_MYSQL驱动来连接和操作MySQL数据库。
• PostgreSQL：一款功能强大的开源对象-关系型数据库系统，支持丰富的数据类型和高级功能。PDO使用PDO_PGSQL驱动来与PostgreSQL数据库交互，为PHP应用程序提供了便捷的数据库访问方式。
• Oracle：广泛应用于企业级环境的大型关系型数据库，PDO通过PDO_OCI驱动支持Oracle数据库，使PHP应用能够与Oracle数据库进行连接和数据操作。
• SQLite：一种轻型的嵌入式关系型数据库，无需独立的服务器进程，适用于小型项目和本地数据存储。PDO内置了对SQLite的支持，通过PDO_SQLITE驱动可以方便地在PHP中使用SQLite数据库。
• Microsoft SQL Server：微软推出的关系型数据库管理系统，在Windows环境中应用广泛。PDO通过PDO_DBLIB或PDO_SQLSRV驱动来支持SQL Server数据库，允许PHP应用与SQL Server进行数据交互。

非关系型数据库

• MongoDB：一款流行的非关系型数据库，以文档形式存储数据，具有高可扩展性和灵活性。虽然PHP PDO本身不直接支持MongoDB，但可以使用MongoDB的官方PHP驱动来实现与MongoDB的交互。
• Redis：内存数据库，常用于缓存、消息队列等场景。PHP可以通过Predis等库来与Redis进行交互，虽然不是直接通过PDO，但也能在PHP应用中方便地使用Redis的功能。

事务处理

PDO提供了方便的事务处理功能，用于确保一组数据库操作要么全部成功执行，要么全部回滚，保证数据的一致性。以下是一个简单的事务处理示例：

try {
    $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 开启事务
    $pdo->beginTransaction();

    $stmt1 = $pdo->prepare("INSERT INTO accounts (name, balance) VALUES ('Alice', 1000)");
    $stmt1->execute();

    $stmt2 = $pdo->prepare("INSERT INTO accounts (name, balance) VALUES ('Bob', 2000)");
    $stmt2->execute();

    // 提交事务
    $pdo->commit();
} catch (PDOException $e) {
    // 回滚事务
    $pdo->rollBack();
    echo "事务失败: ". $e->getMessage();
}

在实际使用中，可根据具体需求灵活运用PDO的各种功能，实现高效、安全的数据库操作。

防止 SQL 注入攻击

在PHP中使用PDO预处理语句可以通过以下方式有效防止SQL注入攻击：

使用prepare()和execute()方法

• 准备语句：使用PDO的prepare()方法来准备SQL语句，而不是直接将用户输入嵌入到SQL字符串中。这样可以将SQL语句的结构与用户输入的数据分开处理。

  try {
    $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  
    // 准备SQL语句
    $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
    // 获取用户输入
    $userInputUsername = $_POST['username'];
    $userInputPassword = $_POST['password'];
    // 绑定参数
    $stmt->bindParam(':username', $userInputUsername, PDO::PARAM_STR);
    $stmt->bindParam(':password', $userInputPassword, PDO::PARAM_STR);
    // 执行查询
    $stmt->execute();
  
    // 获取结果集
    $result = $stmt->fetchAll(PDO::FETCH_ASSOC);
    if ($result) {
        // 登录成功
    } else {
        // 登录失败
    }
  } catch (PDOException $e) {
    echo "连接失败: ". $e->getMessage();
  }

• 绑定参数：使用bindParam()或bindValue()方法将用户输入的值绑定到预处理语句中的参数占位符上。PDO会自动对输入的值进行转义，防止恶意用户输入特殊字符来改变SQL语句的逻辑。

数据类型验证

在绑定参数时，明确指定参数的数据类型，如PDO::PARAM_INT、PDO::PARAM_STR等。这有助于PDO更准确地处理数据，避免因数据类型不匹配导致的潜在安全风险。例如：

$age = 25;
$stmt->bindParam(':age', $age, PDO::PARAM_INT);

使用?作为参数占位符

除了使用具名参数（如:username和:password）外，还可以使用?作为参数占位符。这种方式在参数数量较少且顺序明确的情况下比较方便：

$stmt = $pdo->prepare("SELECT * FROM users WHERE age >?");
$age = 18;
$stmt->bindParam(1, $age, PDO::PARAM_INT);
$stmt->execute();

存储过程调用

如果数据库支持存储过程，也可以通过PDO调用存储过程来进一步提高安全性。

在调用存储过程时，同样可以使用预处理语句来传递参数：

$stmt = $pdo->prepare("CALL get_user_data(?,?)");
$user_id = 1;
$is_active = true;
$stmt->bindParam(1, $user_id, PDO::PARAM_INT);
$stmt->bindParam(2, $is_active, PDO::PARAM_BOOL);
$stmt->execute();

总之，使用PDO预处理语句并结合严格的数据验证和处理，可以大大提高应用程序对SQL注入攻击的防御能力，确保数据库操作的安全性。

PHP PDO 操作 MySQL PostgreSQL SQLite

PHP PDO提供了统一的API来操作不同的数据库，以下是使用PHP PDO操作MySQL、PostgreSQL和SQLite的基本步骤和示例代码：

连接数据库

• MySQL

  try {
    $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  } catch(PDOException $e) {
    echo "连接失败: ". $e->getMessage();
  }

• PostgreSQL

  try {
    $pdo = new PDO('pgsql:host=localhost;port=5432;dbname=test', 'username', 'password');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  } catch(PDOException $e) {
    echo "连接失败: ". $e->getMessage();
  }

• SQLite

  try {
    $pdo = new PDO('sqlite:/path/to/database.sqlite');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  } catch(PDOException $e) {
    echo "连接失败: ". $e->getMessage();
  }

创建表

• MySQL、PostgreSQL和SQLite通用示例

  try {
    $sql = "CREATE TABLE IF NOT EXISTS users (
        id INT AUTO_INCREMENT PRIMARY KEY,
        name VARCHAR(255) NOT NULL,
        email VARCHAR(255) NOT NULL
    )";
    $pdo->exec($sql);
  } catch(PDOException $e) {
    echo "创建表失败: ". $e->getMessage();
  }

插入数据

• MySQL、PostgreSQL和SQLite通用示例

  try {
    $name = "John Doe";
    $email = "[email protected]";
    $sql = "INSERT INTO users (name, email) VALUES (:name, :email)";
    $stmt = $pdo->prepare($sql);
    $stmt->bindParam(':name', $name, PDO::PARAM_STR);
    $stmt->bindParam(':email', $email, PDO::PARAM_STR);
    $stmt->execute();
  } catch(PDOException $e) {
    echo "插入数据失败: ". $e->getMessage();
  }

查询数据

• MySQL、PostgreSQL和SQLite通用示例

  try {
    $sql = "SELECT * FROM users";
    $stmt = $pdo->query($sql);
    $results = $stmt->fetchAll(PDO::FETCH_ASSOC);
    foreach ($results as $row) {
        echo "ID: ". $row['id']. ", Name: ". $row['name']. ", Email: ". $row['email']. "<br>";
    }
  } catch(PDOException $e) {
    echo "查询数据失败: ". $e->getMessage();
  }

更新数据

• MySQL、PostgreSQL和SQLite通用示例

  try {
    $newName = "Jane Doe";
    $id = 1;
    $sql = "UPDATE users SET name = :newName WHERE id = :id";
    $stmt = $pdo->prepare($sql);
    $stmt->bindParam(':newName', $newName, PDO::PARAM_STR);
    $stmt->bindParam(':id', $id, PDO::PARAM_INT);
    $stmt->execute();
  } catch(PDOException $e) {
    echo "更新数据失败: ". $e->getMessage();
  }

删除数据

• MySQL、PostgreSQL和SQLite通用示例

  try {
    $id = 1;
    $sql = "DELETE FROM users WHERE id = :id";
    $stmt = $pdo->prepare($sql);
    $stmt->bindParam(':id', $id, PDO::PARAM_INT);
    $stmt->execute();
  } catch(PDOException $e) {
    echo "删除数据失败: ". $e->getMessage();
  }