PHP中的預處理類及綁定數(shù)據(jù)的使用方法

這篇文章主要介紹“PHP中的預處理類及綁定數(shù)據(jù)的使用方法”，在日常操作中，相信很多人在PHP中的預處理類及綁定數(shù)據(jù)的使用方法問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”PHP中的預處理類及綁定數(shù)據(jù)的使用方法”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

PHP中的PDO操作學習（三）預處理類及綁定數(shù)據(jù)

要說 PDO 中最強大的功能，除了為不同的數(shù)據(jù)庫提供了統(tǒng)一的接口之外，更重要的就是它的預處理能力，也就是 PDOStatement 所提供的功能。因為它的存在，才讓我們可以安心地去使用而不用操心 SQL 語句的拼接不好所帶來的安全風險問題。當然，預處理也為我們提升了語句的執(zhí)行效率，可以說是 PDO 的另一大殺器。

PDOStatement 類

PDOStatement 類其實就是代表一條預處理語句，并在該語句被執(zhí)行后代表一個相關的結果集。它提供一些方法，讓我們能夠?qū)@條預處理語句進行操作。

$dns = 'mysql:host=localhost;dbname=blog_test;port=3306;charset=utf8';
$pdo = new PDO($dns, 'root', '', [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]);

$stmt = $pdo->prepare("select * from zyblog_test_user");

// PDOStatement 對象的內(nèi)容
var_dump($stmt);
// object(PDOStatement)#2 (1) {
//     ["queryString"]=>
//     string(57) "select * from zyblog_test_user where username = :username"
//   }

PDOStatement 對象是通過 PDO 對象的 prepare() 方法返回的一個對象。它沒有構造函數(shù)，也就是說我們不能直接實例化一個 PDOStatement 對象。它包含一個只讀屬性，也就是我們要執(zhí)行的 SQL 語句，保存在 queryString 中。

PDOStatement 錯誤處理

接下來我們先看看 PDOStatement 的兩個錯誤信息方法。

// 沒有指定異常處理狀態(tài)下的錯誤信息函數(shù) 
$pdo_no_exception = new PDO($dns, 'root', '');
$errStmt = $pdo_no_exception->prepare("select * from errtable");
$errStmt->execute();
var_dump($errStmt->errorCode()); // string(5) "42S02"
var_dump($errStmt->errorInfo());
// array(3) {
//     [0]=>
//     string(5) "42S02"
//     [1]=>
//     int(1146)
//     [2]=>
//     string(40) "Table 'blog_test.errtable' doesn't exist"
//   }

在之前的文章中，我們學習過，如果不給 PDO 對象指定錯誤處理格式的話。它會使用返回錯誤碼和錯誤信息的方式處理錯誤。在這種情況下，如果預處理的語句有問題，我們就可以通過 errorCode() 和 errorInfo() 方法來獲得錯誤的代碼和錯誤的詳細信息。不過，還是更加推薦指定 PDO 的錯誤處理方式為拋出異常，就像最上面我們定義的 PDO 對象那樣。這樣我們就可以通過 try...catch 來處理錯誤異常了。

PDOStatement FETCH_MODE 指定

// 為語句設置默認的獲取模式。
$stmt->setFetchMode(PDO::FETCH_ASSOC);
$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
    var_dump($row);
}
// array(4) {
//     ["id"]=>
//     string(1) "1"
//     ["username"]=>
//     string(3) "aaa"
//     ["password"]=>
//     string(3) "aaa"
//     ["salt"]=>
//     string(3) "aaa"
//   }
// ……

為查詢結構指定 FETCH_MODE 是通過 setFetchMode() 方法來實現(xiàn)的。之前我們也講過，通過 PDO 對象的屬性可以指定默認的查詢結果集模式，不過在 PDOStatement 中，也可以通過這個方法來為當前的這一次預處理語句的查詢指定 FETCH_MODE 。

PDOStatement 獲取列數(shù)量及字段信息

// 返回結果集列數(shù)、返回結果集中一列的元數(shù)據(jù)
$stmt = $pdo->prepare("select * from zyblog_test_user");
$stmt->execute();
var_dump($stmt->columnCount()); // int(4)
var_dump($stmt->getColumnMeta(0)); 
// array(7) {
//     ["native_type"]=>
//     string(4) "LONG"
//     ["pdo_type"]=>
//     int(2)
//     ["flags"]=>
//     array(2) {
//       [0]=>
//       string(8) "not_null"
//       [1]=>
//       string(11) "primary_key"
//     }
//     ["table"]=>
//     string(16) "zyblog_test_user"
//     ["name"]=>
//     string(2) "id"
//     ["len"]=>
//     int(11)
//     ["precision"]=>
//     int(0)
//   }

columnCount() 可以返回我們當前查詢結果集中的列的數(shù)量。關于行的數(shù)量獲得的方法我們將在下篇文章中再介紹。

getColumnMeta() 方法則是獲取結果集中一列的元數(shù)據(jù)，它的參數(shù)是列的序號，從 1 開始的序號，在這里我們獲取的是第一列，也就是 id 列的信息。從打印的結果，可以看到這個列的名稱、精確度（precisiion）、長度、類型、所屬的表名、屬性（主鍵、非空）這些信息。是不是感覺非常有用。不過這個方法是實驗性質(zhì)的，有可能在未來的 PHP 版本中進行修改，不是正式的固定方法。而且并不是所有數(shù)據(jù)庫連接驅(qū)動都支持這個方法。

PDOStatement 打印出一條預處理語句包含的信息

$stmt = $pdo->prepare("select * from zyblog_test_user where username=? and salt = ?");
$username = 'aaa';
$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindValue(2, 'aaa', PDO::PARAM_STR);
$stmt->execute();
var_dump($stmt->debugDumpParams()); 
// SQL: [60] select * from zyblog_test_user where username=? and salt = ?
// Sent SQL: [68] select * from zyblog_test_user where username='aaa' and salt = 'aaa'
// Params:  2
// Key: Position #0:
// paramno=0
// name=[0] ""
// is_param=1
// param_type=2
// Key: Position #1:
// paramno=1
// name=[0] ""
// is_param=1
// param_type=2

debugDumpParams() 也是很好玩的一個方法，它直接打印出當前執(zhí)行的 SQL 語句的信息，注意，它和 var_dump() 、 php_info() 這類函數(shù)一樣，是直接打印的，不是將結果返回到一個變量中。還記得我們怎么將這種函數(shù)的內(nèi)容保存到變量中嗎？[還搞不懂PHP中的輸出緩沖控制？]()。

從打印的結果來看，它能返回真實執(zhí)行的 SQL 語句以及相關的一些參數(shù)信息。對于日常的開發(fā)調(diào)試來說絕對是一個神器啊。很多小伙伴都會受困于 PDO 預處理的語句如果獲取到真實的執(zhí)行語句。而這個方法只需要我們簡單的封裝一下，就可以從里面提取出真實的執(zhí)行語句了哦！

兩個 MySQL 擴展不支持的屬性

// MySQL 驅(qū)動不支持 setAttribute
$stmt->setAttribute(PDO::ATTR_CURSOR, PDO::CURSOR_FWDONLY);
// Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support setting attributes

// MySQL 驅(qū)動不支持 getAttribute
var_dump($stmt->getAttribute(PDO::ATTR_AUTOCOMMIT));
// Fatal error: Uncaught PDOException: SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support getting attributes

這兩個方法對于 MySQL 擴展驅(qū)動來說是不支持的，但是有其它的數(shù)據(jù)庫是支持的，筆者沒有測試過其它數(shù)據(jù)庫，大家可以自行測試一下。

綁定字段

接下來就是重點內(nèi)容了，在預處理語句中，我們可以使用占位符來綁定變量，從而達到安全處理查詢語句的作用。通過占位符，我們就不用去自己拼裝處理帶單引號的字段內(nèi)容了，從而避免了 SQL 注入的發(fā)生。注意，這里并不是可以處理所有的 SQL 注入問題，比如字符集問題的 寬字節(jié) 注入 。

占位符包含兩種形式，一種是使用 :xxx 這種形式的名稱占位符，: 后面的內(nèi)容可以是自己定義的一個名稱。另一種形式就是使用問號占位符，當使用問號占位符的時候，我們綁定的是字段的下標，下標是從 1 開始的，這點是需要注意的地方。我們直接通過示例來看看。

bindParam

$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");

$username = 'ccc';
$passwrod = '333';
$salt = 'c3';

$stmt->bindParam(':username', $username);
$stmt->bindParam(':pass', $password);
$stmt->bindParam(':salt', $salt);

$stmt->execute();

// bindParam 問號占位符
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");

$username = 'ccc';
$passwrod = '333';
$salt = 'c3';

$stmt->bindParam(1, $username);
$stmt->bindParam(2, $password);
$stmt->bindParam(3, $salt);

$stmt->execute();

在這段代碼中，我們分別使用了兩種形式的占位符來實現(xiàn)了數(shù)據(jù)的插入。當然，預處理語句和占位符是任何操作語句都可以使用的。它的作用就是用綁定的值來替換語句中的占位符所在位置的內(nèi)容。不過它只是使用在 values 、 set 、 where 、 order by 、 group by 、 having 這些條件及對字段的操作中，有興趣的同學可以試試用占位符來表示一個表名會是什么結果。

bindParam() 方法是綁定一個參數(shù)到指定的變量名。在這個方法中，綁定的變量是作為引用被綁定，并且只能是一個變量，不能直接給一個常量。這點我們在后面講和 bindValue() 的區(qū)別時再詳細講解。一些驅(qū)動支持調(diào)用存儲過程的輸入/輸出操作，也可以使用這個方法來綁定，我們將在后面的文章中講解。

bindValue

$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");

$username = 'ddd';
$passwrod = '444';
$salt = 'd4';

$stmt->bindValue(':username', $username);
$stmt->bindValue(':pass', $password);
$stmt->bindValue(':salt', $salt);

$stmt->execute();

咦？它的用法和 bindParam() 一樣呀？沒錯，它們的作用也是一樣的，綁定一個參數(shù)到值。注意，這里是綁定到值，而 bindParam() 是綁定到變量。在正常情況下，你可以將它們看作是一樣的操作，但是，其實它們有很大的不同，我們直接就來看它們的區(qū)別。

bindParam 和 bindValue 的區(qū)別

首先，bindValue() 是可以綁定常量的。

$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

//$stmt->bindParam(':username', 'ccc');
// Fatal error: Uncaught Error: Cannot pass parameter 2 by reference

$stmt->bindValue(':username', 'ccc');

$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
    var_dump($row);
}
// array(4) {
//     ["id"]=>
//     string(2) "19"
//     ["username"]=>
//     string(3) "ccc"
//     ["password"]=>
//     string(3) "bbb"
//     ["salt"]=>
//     string(2) "c3"
//   }
// ……

如果我們使用 bindParam() 來指定第二個參數(shù)值為常量的話，它會直接報錯。bindParam() 的第二個參數(shù)是作為引用類型的變量，不能指定為一個常量。

其次，因為bindParam() 是以引用方式綁定，它的變量內(nèi)容是可變的，所以在任何位置定義綁定的變量都不影響它的預處理，而 bindValue() 是定義后就立即將參數(shù)進行綁定的，所以下面的代碼使用 bindValue() 是無法獲得結果的（$username 在 bindValue() 之后才賦值）。

$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

$stmt->bindValue(':username', $username);
$username = 'ccc';

$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
    var_dump($row);
}
//

必須要保證變量在 bindValue() 之前被賦值。

$username = 'ccc';
$stmt->bindValue(':username', $username);

當然，bindParam() 就不存在這樣的問題了，我們可以在 bindParam() 之后再給它指定的變量賦值。

$stmt = $pdo->prepare("select * from zyblog_test_user where username = :username");

$stmt->bindParam(':username', $username);
$username = 'ddd';

$stmt->execute();
while($row = $stmt->fetch(PDO::FETCH_ASSOC)){
    var_dump($row);
}
// array(4) {
//     ["id"]=>
//     string(1) "8"
//     ["username"]=>
//     string(3) "ddd"
//     ["password"]=>
//     string(3) "bbb"
//     ["salt"]=>
//     string(2) "d4"
//   }
//   ……

這下對 bindParam() 和 bindValue() 的區(qū)別就非常清楚了吧？總結一下：

• bindParam() 必須綁定變量，變量是引用形式的參數(shù)，只要在 execute() 之前完成綁定都可以

• bindValue() 可以綁定常量，如果是綁定的變量，那么變量賦值要在 bindValue() 語句執(zhí)行之前完成，否則綁定的就是一個空的數(shù)據(jù)

bindColumn

這個方法是用于綁定查詢結果集的內(nèi)容的。我們可以將查詢結果集中指定的列綁定到一個特定的變量中，這樣就可以在 fetch() 或 fetchAll() 遍歷結果集時通過變量來得到列的值。

這個方法在實際應用中用到的比較少，所以很多小伙伴可能是只聞其名不見其身。我們還是通過代碼來看看。

$stmt = $pdo->prepare("select * from zyblog_test_user");

$stmt->execute();

$stmt->bindColumn(1, $id);
$stmt->bindColumn(2, $username, PDO::PARAM_STR);
$stmt->bindColumn("password", $password);
$stmt->bindColumn("salt", $salt, PDO::PARAM_INT); // 指定類型強轉(zhuǎn)成了 INT 類型

// 不存在的字段
// $stmt->bindColumn(5, $t); 
//Fatal error: Uncaught PDOException: SQLSTATE[HY000]: General error: Invalid column index

while($row = $stmt->fetch(PDO::FETCH_BOUND)){
    $data = [
        'id'=>$id,
        'username'=>$username,
        'password'=>$password,
        'salt'=>$salt,
    ];
    var_dump($data);
}
// array(4) {
//     ["id"]=>
//     string(1) "1"
//     ["username"]=>
//     string(3) "aaa"
//     ["password"]=>
//     string(3) "aaa"
//     ["salt"]=>
//     int(0)
//   }
//   array(4) {
//     ["id"]=>
//     string(1) "2"
//     ["username"]=>
//     string(3) "bbb"
//     ["password"]=>
//     string(3) "bbb"
//     ["salt"]=>
//     int(123)
//   }
// ……

// 外部獲取變量就是最后一條數(shù)據(jù)的信息
$data = [
    'id'=>$id,
    'username'=>$username,
    'password'=>$password,
    'salt'=>$salt,
];
print_r($data);
// Array
// (
//     [id] => 2
//     [username] => bbb
//     [password] => bbb
//     [salt] => bbb
// )

在代碼中，我們使用的是 * 來獲得的查詢結果集。然后就可以通過問號占位符或者列名來將列綁定到變量中。接著在 fetch() 的遍歷過程中，就可以通過變量直接獲取每一條數(shù)據(jù)的相關列的值。需要注意的是，為變量賦值的作用域僅限于在執(zhí)行 fetch() 方法之后。從代碼的結構中我們就可以看出，bindColumn() 方法對于變量也是作為引用的方式綁定到 PDOStatement 對象內(nèi)部的，所以 fetch() 在處理的時候就直接為這些變量賦上了值。

bindCloumn() 方法后面的參數(shù)是可選的字段類型，這個參數(shù)在 bindParam() 和 bindValue() 中都是存在的，也都是可選的。如果獲取的類型和我們綁定時定義的類型不同，那么 PDOStatement 就會強轉(zhuǎn)為綁定時指定的類型。例如上面例子中我們將本身為 varchar 類型的 salt 字段強轉(zhuǎn)為 int 類型之后就輸出的都是 int 類型了。除了這個參數(shù)之外，還有一些其它可選的參數(shù)，大家可以自行查閱相關的文檔。

fetch() 循環(huán)結束后，變量中依然保留著最后一行結果集的內(nèi)容。所以在使用的時候要注意如果外部有其它地方使用這些變量的話，是否需要重新賦值或者清理掉它們。

execute 直接傳遞參數(shù)

最后，如果我們不想這么麻煩地去綁定字段或者變量，也可以直接在 execute() 方法中直接傳遞參數(shù)，它是類似于 bindValue() 的形式進行字段綁定的。

$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(:username, :pass, :salt)");
$stmt->execute([
    ':username'=>'jjj',
    ':pass'=>'888',
    ':salt'=>'j8'
]);
// 使用問號占位符的話是按從0開始的下標
$stmt = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");
$stmt->execute(['jjjj','8888','j8']);

execute() 的這個綁定參數(shù)是一個數(shù)組，在使用問號占位符的時候需要注意，在這里，按數(shù)組的下標來說，它們是從 0 開始算位置的。

另外需要注意的是，PDOStatement 對象的操作都是使用 execute() 方法來進行語句執(zhí)行的。這個方法只會返回一個布爾值，也就是成功或者失敗。不像 PDO 對象的 exec() 方法返回的是受影響的條數(shù)。如果是查詢類的語句，我們需要在 execute() 之后調(diào)用 fetch() 之類的方法遍歷結果集。而增、刪、改之類的操作，則需要通過 rowCount() 來獲得返回的執(zhí)行結果條數(shù)。相關的內(nèi)容我們也將在之后的文章一起詳細講解。

到此，關于“PHP中的預處理類及綁定數(shù)據(jù)的使用方法”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續(xù)學習更多相關知識，請繼續(xù)關注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>