PHP 中提供了三种访问 MySQL 数据库的扩展,即 mysql,mysqli 和 PDO。它们的区别可以比较如下:

扩展 mysql mysqli PDO
PHP 版本 2.0+ 5.0+ 5.1+
生命周期 废弃 活跃 活跃
面向对象语法
过程式语法
服务器端预处理语句
客户端预处理语句

上面所说的预处理语句就是用于参数化查询的。可以看到,除了旧的 mysql 扩展不支持,mysqli 和 PDO 这两个新扩展都支持参数化查询。PDO 扩展相比 mysqli 扩展的好处是,它是与关系数据库类型无关的,因此很方便切换数据库,比如从 MySQL 切换到 PostgreSQL。


首先我们来看看利用 mysqli 扩展如何使用参数化查询。例如:

  1. $mysqli = new mysqli("localhost","dbusername", "dbpassword", "database");  
  2.    
  3. $username= "somename";  
  4. $password= "someword";  
  5.    
  6. $query = "SELECT filename, filesize FROM users WHERE (name = ?) and (password = ?)";  
  7.    
  8. $stmt = $mysqli->stmt_init();  
  9.    
  10. if ($stmt->prepare($query)) {  
  11.     $stmt->bind_param("ss",$username, $password);  
  12.     $stmt->execute();  
  13.    
  14.     $stmt->bind_result($filename,$filesize);  
  15.     while($stmt->fetch()) {  
  16.         printf ("%s : %d\n",$filename, $filesize);  
  17.     }  
  18.     $stmt->close();  
  19. }  
  20.    
  21. $mysqli->close();  


再看看用 PDO 扩展如何使用参数化查询。例如:

    1. $pdo = new PDO("mysql:host=localhost;dbname=database","dbusername", "dbpassword");  
    2.    
    3. $username= "somename";  
    4. $password= "someword";  
    5.    
    6. $query = "SELECT * FROM users WHERE (name = :username) and (password = :password)";  
    7.    
    8. $statement= $pdo->prepare($query,array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));  
    9. $statement->bindParam(":username",$username, PDO::PARAM_STR, 10);  
    10. $statement->bindParam(":password",$password, PDO::PARAM_STR, 12);  
    11. $statement->execute();  
    12.    
    13. while ($row = $statement->fetch(PDO::FETCH_ASSOC)) {  
    14.   printf ("%s : %d\n",$row["filename"],$row["filesize"]);  
    15. }  
    16. $statement->closeCursor();  
    17.    
    18. $pdo = null; 
posted on 2016-10-11 12:51  飘渺的悠远  阅读(379)  评论(0)    收藏  举报