詳解PHP中的PDO類

 簡介

咱一起來看看PDO類。PDO是PHP Data Objects的縮寫，它被描述為“在PHP中訪問數據庫的輕量級，兼容性的接口”。盡管它的名字不咋好聽，但PDO是一個在PHP中訪問數據庫會讓人喜愛的方式。
與MySQLi的不同

MySQLi和PDO很相似，都有兩方面主要區別：

1.MySQLi只能訪問MySQL，但PDO可以訪問12種不同的數據庫

2.PDO沒有普通函數調用(mysqli_*functions)
開始步驟

首先，你得確定一下你的PHP是否安裝了PDO插件。你可以用$test=new PDO()的結果來測試。如果提示說是參數不匹配，那證明已經安裝了PDO插件，如果說是對象不存在，你得先確認一下在pho.ini中php_pdo_yourssqlserverhere.extis是否被注釋掉了。如果沒有這句話，那你得安裝PDO了，這裡就不啰嗦了。

連接

現在我們確認服務器已經工作，開始連接數據庫吧：
 

$dsn = 'mysql:dbname=demo;host=localhost;port=3306';
$username = 'root';
$password = 'password_here';
try {
 $db = new PDO($dsn, $username, $password); // also allows an extra parameter of configuration
} catch(PDOException $e) {
 die('Could not connect to the database:<br/>' . $e);
}

除$dsn之外，所有語句和變量都能自我解釋。DSN指的是數據源名稱，有多種輸入類型。最常見的一種是我們剛剛用的這種，PHP官網解釋了 其他可用的DSN 。

你可以省去DSN的其他額外參數，只需要在數據庫驅動後面帶個冒號，比如（mysql:）。在這種情況下PDO將會嘗試連接到本地數據庫。就像當你使用MySQLi時需要在查詢中指定數據庫名稱一樣。

最後一件你需要注意的事情就是我們用try-catch塊包裹了我們的初始化對象。PDO連接失敗的時候將會拋出PDOException異常而不是查詢失敗的時候。如果你願意你可以使用下面代碼$db=line來選擇異常的模式。
 

$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

或者你可以直接在PDO初始化時傳遞參數：
 

$db = new PDO($dsn, $username, $password, array (
 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
));

我們現在使用的是錯誤的方式——在失敗時候簡單返回false,我們是沒有理由不對異常進行處理的。

基本查詢

在PDO中使用query和exec兩種方法使得對數據庫查詢變得非常簡單。如果你想得到查詢結果的行數exec是非常好用的，因此對SELECT查詢語句是非常有用的。

現在我們通過下面的一個例子查看這兩種方法：
 

$statement = <<<SQL
 SELECT *
 FROM `foods`
 WHERE `healthy` = 0
SQL;
 
$foods = $db->query($statement);

假設我們的查詢是正確的，$foods現在是一個PDO Statement對象，我們可以用它獲取到我們的結果或者是查看這次查詢中一共查到多少條結果集。
行數

不足的是，PDO沒有提供一個統一的方法去計算返回的行數。PDO Statement包含了一個叫做rowCount的方法，但是這個方法卻不能保證在每一個SQL驅動中起作用（幸運的是，它能夠在Mysql數據庫中起作用）。

如果你的SQL驅動不支持這個方法，你也有2個選擇:使用二次查詢（SELECT COUNT(*)）或者使用簡單的count（$foods）得到行數。

幸運的是對我們的MySQL例子，我們可以使用下面的簡單方法來輸出正確的行數。
 

echo $foods->rowCount();

遍歷結果集

打印出這些可口的食物一點也不困難：
 

foreach($foods->FetchAll() as $food) {
 echo $food['name'] . '<br />';
}

唯一需要注意的是PDO也支持Fetch方法，這個方法只會返回第一條結果，這對於只需要查詢一條結果集是非常有用的。
轉義用戶輸入（的特殊字符）

你可曾聽說過（mysqli_）real_escape_string,這是用於確保用戶輸入安全數據。PDO提供了一個方法叫做quote，這個方法可以把輸入字符串中帶有引號的地方進行特殊字符轉義。
 

$input: this is's' a '''pretty dange'rous str'ing

在轉義後，最終得到下面結果：
 

$db->quote($input): 'this is\'s\' a \'\'\'pretty dange\'rous str\'ing'
exec()

正如上面提到的，你可以使用exec()方法實現UPDATE,DELETE和INSERT 操作，執行後它會返回受影響行數的數量：
 

$statement = <<<SQL
 DELETE FROM `foods`
 WHERE `healthy` = 1;
SQL;
 
echo $db->exec($statement); // outputs number of deleted rows

預處理語句

盡管exec方法和查詢在PHP中仍然被大量使用和支持，但是PHP官網上還是要求大家用預處理語句的方式來替代。為什麼呢？主要是因為：它更安全。預處理語句不會直接在實際查詢中插入參數，這就避免了許多潛在的SQL注入。

然而出於某種原因，PDO實際上並沒有真正的使用預處理，它是在模擬預處理方式，在將語句傳給SQL服務器之前會把參數數據插入到語句中，這使得某些系統容易受到SQL注入。

如果你的SQL服務器不真正的支持預處理,我們可以很容易的通過如下方式在PDO初始化時傳參來修復這個問題:
 

$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

接下來開始我們的第一個預處理語句吧：
 

$statement = $db->prepare('SELECT * FROM foods WHERE `name`=? AND `healthy`=?');
$statement2 = $db->prepare('SELECT * FROM foods WHERE `name`=:name AND `healthy`=:healthy)';

正如你所見，有兩種創建參數的方法，命名的與匿名的（不可以同時出現在一個語句中）。然後你可以使用bindValue來敲進你的輸入：
 

$statement->bindValue(1, 'Cake');
$statement->bindValue(2, true);
 
$statement2->bindValue(':name', 'Pie');
$statement2->bindValue(':healthy', false);

注意使用命名參數的時候你要包含進冒號(:)。PDO還有一個bindParam方法，可以通過引用綁定數值，也就是說它只在語句執行的時候查找相應數值。

現在剩下的唯一要做的事情，就是執行我們的語句：
 

$statement->execute();
$statement2->execute();
 
// Get our results:
$cake = $statement->Fetch();
$pie = $statement2->Fetch();

為了避免只使用bindValue帶來的代碼碎片，你可以用數組給execute方法作為參數，像這樣：
 

$statement->execute(array(1 => 'Cake', 2 => true));
$statement2->execute(array(':name' => 'Pie', ':healthy' => false));

事務

前面我們已經描述過了什麼是事務：

一個事務就是執行一組查詢,但是並不保存他們的影響到數據庫中。這樣做的好處是如果你執行了4條相互依賴的插入語句,當有一條失敗後,你可以回滾使得其他的數據不能夠插入到數據庫中,確保相互依賴的字段能夠正確的插入。你需要確保你使用的數據庫引擎支持事務。
開啟事務

你可以很簡單的使用beginTransaction()方法開啟一個事務：
 

$db->beginTransaction();
 
$db->inTransaction(); // true!

然後你可以繼續執行你的數據庫操作語句，在最後提交事務：
 

$db->commit();

還有類似MySQLi中的rollBack()方法，但是它並不是回滾所有的類型（例如在MySQL中使用DROP TABLE）,這個方法並不是真正的可靠，我建議盡量避免依賴此方法。

其他有用的選項

有幾個選項你可以考慮用一下。這些可以作為你的對象初始化時候的第四個參數輸入。

 
$options = array($option1 => $value1, $option[..]);
$db = new PDO($dsn, $username, $password, $options);

你可以選擇PDO將返回的是什麼類型的結果集，如PDO::FETCH_ASSOC，會允許你使用$result['column_name']，或者PDO::FETCH_OBJ，會返回一個匿名對象，以便你使用$result->column_name

你還可以將結果放入一個特定的類（模型），可以通過給每一個單獨的查詢設置一個讀取模式，就像這樣：
 

$query = $db->query('SELECT * FROM `foods`');
$foods = $query->fetchAll(PDO::FETCH_CLASS, 'Food');
PDO::ATTR_ERRMODE

上面我們已經解釋過這一條了，但喜歡TryCatch的人需要用到：PDO::ERRMODE_EXCEPTION。如果不論什麼原因你想拋出PHP警告，就使用PDO::ERRMODE_WARNING。

PDO::ATTR_TIMEOUT

當你為載入時間而著急時,你可以使用此屬性來為你的查詢指定一個超時時間，單位是秒. 注意，如果超過你設置的時間，缺省會拋出E_WARNING異常, 除非 PDO::ATTR_ERRMODE 被改變.

更多屬性信息可以在 PHP官網的屬性設置 裡查看到.
最後的思考

PDO是一個在PHP中訪問你的數據庫的很棒的方式，可以認為是最好的方式。除非你拒絕使用面向對象的方法或是太習慣 MySQLi 的方法名稱，否則沒有理由不使用PDO。

更好的是完全切換到只使用預處理語句，這最終將使你的生活更輕松！