php查詢mysql總結和預處理
任務:進一步深入mysqli_multi_query()用法.
一、連線到mysql: $dbc = mysqli_connect(host,user,password,databasename);
等價於:
$dbc = mysqli_connect(host,user,pwd); mysqli_select_db($dbc,db_name);
如果發生錯誤,可以呼叫:mysqli_connect_error() 返回錯誤資訊,不帶引數。
$dbc = @mysqli_connect(host,user,pwd,db) or die('無法連線到mysql:'.mysqli_connect_error());
@是錯誤控制運算子,防止在web瀏覽器顯示php錯誤。此外,@也可以放在mysqli_query前面。上面是一種首選做法,因為錯誤將由or
die處理。die()會終止指令碼執行。 可以將連線檔案放在路徑外。
設定編碼:mysqli_query("set names gb2312");
二、執行查詢:不管是select, delete, update,insert 查詢都是用: $result=mysqli_query($dbc,SQL); 對於
insert ,delete,update等查詢不會返回結果,$result將返回true或false,因此可以用這個來判斷下一步: $result = mysqli_query
($dbc,sql); if($result) {//susses} 如果查詢沒有成功,必定發生某種mysql錯誤,可能呼叫 mysqli_error($dbc) //注意和
mysqli_connect_error()區別
三、關閉連線: mysqli_close($dbc) 這不是必需要的,php會在指令碼最後自動關閉,但最好寫上。
四、多條查詢: mysqli_multi_query()允許同時執行多條查詢。但語法更復雜一點。特別是當返回結果時。 五、檢索select查詢結果:
mysqli_fetch_array($result [, type])是最常用的,以陣列格式一次返回一行資料。由它來配合while()來遍歷返回資料。帶有一個可
選引數type,用於指定返回的陣列型別:關聯的還是索引的,或二者均可。引數型別如下: MYSQLI_ASSOC 示例:$rows
['columnName'] MYSQLI_NUM 示例:$rows[0] ,這一種效率較高一點。 MYSQLI_BOTH 示例:$rows[0]或$rows
['columnName'] 當使用mysqli_fetch_array($result [, type])後,可以採取一個可選步聚的是:一旦查詢結果完成了工作,即可釋放這
些資訊,來消除$result佔用的系統記憶體開銷。這一步是可選的,PHP同樣也在會結果時自動清理: mysqli_free_result($result) //注意
引數是不是$rows! 流程如下: while($rows=mysqli_fetch_array($result)) //或while($rows=mysqli_fetch_array
($result,MYSQLI_ASSOC)) {//遍歷 .......code do something....... echo $rows[0] mysqli_free_result($result) }
注意:
mysqli_fetch_array() 可以是 MYSQLI_NUM 或 MYSQLI_ASSOC
mysqli_fetch_assoc()和mysqli_fetch_array($result,MYSQLI_ASSOC)等價。
六、確保sql安全,使用轉義函式: mysqli_real_escape_string($dbc,para) 該函式用於檢驗使用者提交的並將組合到sql查詢語句的變數
值,它將轉義那些有可能無意或帶惡意的字元。如單引號,在外國人的姓名有可能會包含該符號(如O'Toole),這時就需要用它。案例:
$name = $_POST['name']; $name = mysqli_real_escape_string($dbc,$name); $query = "Select ... From tb where
name='$name'"; //這樣可以確保帶入sql 時引數的安全。注意:如果在使用php6之前的版本,若啟用MAGIC QUOTES魔法引用時,那
麼在使用mysqli_real_escape_string前,需要用stripslashes(para)刪除魔法引用新增的任何斜槓,如下: $fn =
mysqli_real_escape_string($dbc,trim(stripslashes($_POST['firstName'])));
七、統計select返回的記錄數:使用mysqli_num_rows($result)統計select 返回的結果行數。$num=mysqli_num_rows($r),對於
上面所說的while流程,可以更改成以下更嚴謹的寫法,而不只是分析查詢是否成功,因為如果資料庫為空的話,就不會出錯。 $sql =
"select * from tb where id=$id"; $r = @mysqli_query($dbc,$sql); $num = mysqli_num_rows($r); if($num>0){ //這樣比if
($r)更準確。不是僅僅分析是否成功執行。 // Do something; mysqli_free_result($r) } mysqli_close($dbc);
八、返回insert ,update,delete受影響行數:和上面不同的是,如果查詢不是select則用mysqli_affected_rows()函式返回受影響行
數。用法如下: $num = mysqli_affected_rows($dbc); //注意引數是$dbc; 如: $q = "update tb set pass=SHA1
('$newpassword') where id=$row[0]"; $r = @myslqi_query($dbc,$q); if(mysqli_affected_rows($dbc)==1){ //Do
something }else{ echo mysqli_error($dbc); exit(); //終止指令碼。 }
注意: 1、如果使用truncate tb清空表時,則
mysqli_affected_rows()會返回0,即使查詢成功執行並且刪除了每一行。
2、如果用update查詢時,但實質上沒有更改任何列的值,比如用相同的密碼代替一箇舊密碼,則也會返回0。
九、批量查詢:預處理語句
(第12章第4節:P311)版本:MYSQL 4.1開始新增預處理。
php5可以使用。預處理的好處: 1、更大安全性。2、更好效能。3、批量查
詢。對於預處理語句,只會把查詢本身傳送給mysql,並且只會解析一次,然後單獨把值傳送給mysql。
$q = 'Insert into tb(num) values (?)';
$stmt = mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'i',$n);
for($n=1;$n<=100;$n++) { mysqli_stmt_execute($stmt); } 可以通過insert , update , delete , select 查詢建立預處理,
步驟:
1、定義查詢: $q = "select firstname,lastname from users where uid = ?"; //(正常則是uid=$id)
2、將查詢傳給mysql預處理: $stmt = mysqli_prepare($dbc,$q); //此時mysql會解析查詢,但不會執行。
3、將變數繫結到查詢佔位符"?",如下: mysqli_stmt_bind_param($stmt,'i',$id); 其中'i'的含義是mysql_stmt_bind_param函式
期望接收到的值為int型別,
共有以下幾種:
字母 表示繫結的值型別
d Decimal
i Integer
b Blob (二進位制型別)
s 所有其它型別
如果查詢語句有多個變數,如: $q = "select uid,firstname from users where email=? AND pass=SHA1(?)"; //注意這裡都沒有
對?問號加單引號,即使是字元型。這是和標準查詢的區別。多個變數直接在繫結時按順序在引號內列出即可。如下: $stmt =
mysqli_prepare($dbc,$q); mysqli_stmt_bind_param($stmt,'ss',$e,$p); 還需要注意的時,在呼叫繫結函式前,可以不需要先對變
量定義設定,如上面的$e,$p在下面才設定,這不會出錯。 4、完成繫結後,可以給php變數賦值(如果還沒有值的話)。然後執行語句。
$id=15; mysqli_stmt_execute($stmt); 5、關閉預處理: mysqli_stmt_close($stmt); 6、關閉連線 mysqli_close($dbc); 執行
預處理時,如有出錯則用mysqli_stmt_error($stmt)呼叫。 示例: $dbc =mysqli_connect
('localhost','username','pwd','forum'); $q = 'insert into messages(forumid,parentid,userid,subject,body,forumdate)
values(?,?,?,?,?,NOW())'; $stmt = mysqli_prepare($dbc,$q); mysqli_stmt_bind_param
($stmt,'iiiss',$forumid,$parentid,$userid,$subject,$body); $forumid = (int)$_POST['forumid']; $parentid=(int) $_POST
['parentid']; $user_id =3; $subject = strip_tags($_POST['subject']); //strip_tags $body = strip_tags($_POST['body']);
mysqli_stmt_execute($stmt); if(mysqli_stmt_affected_rows($stmt)==1) { //do .... }else{ echo mysqli_stmt_error
($stmt); } mysqli_stmt_close($stmt); mysqli_close($dbc); 以上演示了預處理的一種語句,
實際上預處理有兩種語句:
1、繫結引數(bound parameter):如上面的示例
2、繫結結果(bound result):將查詢結果繫結到php變數。
十、阻止sql注入:(第12章第4節:P311) 1、驗證在查詢中要使用的資料,如果有可能,就可執行型別強制轉換。如: $forumid =
(int)$_POST['forumid']; if($forumid>0) .... //如果強制轉換成int完=0時,則不符資料型要求。 2、使用
mysqli_real_escape_string($dbc,para) 3、使用mysqli_real_escape_string($dbc,para)替代辦法:預處理,參上面。
十一、早先的php和mysql連線方式: mysql_connect,在寫法上只差上面一個字母i,但用法差不多。以下簡單示例: $conn =
mysql_connect("127.0.0.1","mysqltest","123456");
mysql_select_db("shop"); //如果用$selectdb = mysql_select_db("shop");則$selectdb=1
mysql_query("set names gb2312"); //mysql_query("set names utf8");
$exec="select * from product"; $result=mysql_query($exec,$conn); //或:$result=mysql_query($exec); while
($rs=mysql_fetch_object($result)) { echo "品名:[".$rs->pname . "] "; echo "價格:". $rs->price . " "; echo "入庫時
間:".$rs->addTime . " "; echo ""; } echo $result; 如果要進行結果判斷有無再輸出,則可以用: $conn = mysql_connect
("127.0.0.1","mysqltest","123456");
mysql_select_db("shop");
mysql_query("set names gb2312"); //mysql_query("set names utf8");
$exec="select * from product"; if($result=mysql_query($exec,$conn)){ while($rs=mysql_fetch_object($result))
{ echo "品名:[".$rs->pname . "] "; echo "價格:". $rs->price . " "; echo "入庫時間:".$rs->addTime . " "; echo "
"; } }
附:
A、在insert後取得最後一條記錄:2種方法:
1、使用mysql的:last_insert_id() 函式。“insert into ....;select last_insert_id()”
2、使用php 的 mysql_insert_id() 或mysqli_insert_id() 返回同樣的值: PHP的 mysql_insert_id ( [resource $link_identifier] )
函式可以返回你需要的ID。 可選引數是php連線mysql的控制代碼。 每個連線都有不同的控制代碼。如: mysql_query("INSERT INTO
mytable (product) values ('kossu')"); printf ("Last inserted record has id %d/n", mysql_insert_id());
B、幾個函式: trim() , ltrim(), rtrim() exit(), strip_tags()去掉字串中包含的任何 HTML 及 PHP 的標記字串。若是字串的
HTML 及 PHP 標籤原來就有錯,例如少了大於的符號,則也會返回錯誤。而本函式和 fgetss() 有著相同的功能。 $text = '
Test paragraph.
Other text'; echo strip_tags($text); //結果:Test paragraph. Other text // 許可用
Test paragraph.