PHP操作MySQL方式选择？-php教程-PHP中文网

PHP操作MySQL方式选择？

php中文网

发布： 2016-06-06 20:22:17

原创

1608人浏览过

之前从书上学习的mysql操作方式一直都是大致如下的形式

<code>$dbc = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME); 

$query = "select * from products where Category=\"$category\"";

$data = mysqli_query($dbc, $query);

while ($row = mysqli_fetch_array($data)) {...}</code>

登录后复制

现在在别人的项目实现中发现了预处理的方式

立即学习“PHP免费学习笔记（深入）”；

<code>$stmt = $this->conn->prepare("SELECT password_hash FROM users WHERE email = ?");
 
$stmt->bind_param("s", $email);
 
$stmt->execute();
 
$stmt->bind_result($password_hash);
 
$stmt->store_result();</code>

登录后复制

好吧只是面向对象和面向过程2中实现方法罢了..大家无视掉吧

回复内容：

之前从书上学习的mysql操作方式一直都是大致如下的形式

<code>$dbc = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME); 

$query = "select * from products where Category=\"$category\"";

$data = mysqli_query($dbc, $query);

while ($row = mysqli_fetch_array($data)) {...}</code>

登录后复制

现在在别人的项目实现中发现了预处理的方式

立即学习“PHP免费学习笔记（深入）”；

<code>$stmt = $this->conn->prepare("SELECT password_hash FROM users WHERE email = ?");
 
$stmt->bind_param("s", $email);
 
$stmt->execute();
 
$stmt->bind_result($password_hash);
 
$stmt->store_result();</code>

登录后复制

好吧只是面向对象和面向过程2中实现方法罢了..大家无视掉吧

你看的是教科书吧，哈哈～
只用pdo，不解释～

对于有用户输出参数的查询,直接拼接SQL语句然后query不安全,
查询前应该用mysqli_real_escape_string转义SQL语句中的特殊字符.
不过最好还是用prepare预处理bind_param参数化查询.

启科网络PHP商城系统

启科网络商城系统由启科网络技术开发团队完全自主开发，使用国内最流行高效的PHP程序语言，并用小巧的MySql作为数据库服务器，并且使用Smarty引擎来分离网站程序与前端设计代码，让建立的网站可以自由制作个性化的页面。系统使用标签作为数据调用格式，网站前台开发人员只要简单学习系统标签功能和使用方法，将标签设置在制作的HTML模板中进行对网站数据、内容、信息等的调用，即可建设出美观、个性的网站。

查看详情

<code class="php">//pdo防注入，你值得拥有
$pdo = new PDO("mysql:dbname=test",'root','');
$sql = "SELECT * FROM  category";
$stmt = $pdo->prepare($sql);
$stmt->execute();
// 以数组方式获取结果，并遍历结果
while ($row = $stmt->fetch()) {
    $categories[] = $row;
}
print_r($categories);
</code>

登录后复制

预处理方式是通过增强扩展的Mysqli类实现的，它是MYSQL4.1以后才开始提供的功能，书上一般只会讲默认的实现方式，这样也便于初学者理解PHP连接MYSQL的方法，这本书如果有讲预处理肯定会提到的。

预处理方式我是在做oracle的时候碰到的，当时就震惊了，企业级的数据库就是这么吊，后来才知道mysql也有的，不过确实建议使用预处理来做数据库操作

PHP有三种连接MySQL的方式： mysql_connect(), mysqli, pdo。

mysql_connect()官方已经不推荐使用了，安全性很差。

mysqli和pdo，两种都可以预处理，参数绑定，都能有效防范SQL注入等问题。更推荐使用PDO一些。因为PDO是一个数据库抽象层,支持很多不同的数据库驱动（方便以后更换）；支持更友善的命名式变量绑定等。

而PHP因为历史原因，很多库提供了两套使用方式：面向对象的，和面向过程的（函数的，C语言式），mysqli就有过程式和对象式两种。
你给出的第一个例子，就是mysqli的过程式的，而第二种，是对象式的。

扯呢？
只有面向过程和面型对象的两种实现？开啥子玩笑。
PDO的参数绑定以及预处理让传统一大坨addslashes，mysql escape各种杂七杂八的过滤函数全部下岗了。
除了釜底抽薪地解决了sql注入问题外，然后就是绑定预查询，在批量相似查询时效率提高。

大家都在看：

PHP如何实现动态图表_PHP动态图表生成的方法与代码实例手机怎么用php_手机端PHP开发（响应式/H5）与调试方法 PHP接口中的方法有何特点_PHP接口方法定义规范与实现要求解析 php网站模板加载慢怎么解决_php网站模板渲染性能优化与加速技巧 php项目怎么部署到zendframework_php项目zendframework框架部署与运行配置教程