PHP 中提供了三种访问 MySQL 数据库的扩展,即 mysql,mysqli 和 PDO。它们的区别可以比较如下:
扩展 | mysql | mysqli | PDO |
PHP 版本 | 2.0+ | 5.0+ | 5.1+ |
生命周期 | 废弃 | 活跃 | 活跃 |
面向对象语法 | 否 | 是 | 是 |
过程式语法 | 是 | 是 | 否 |
服务器端预处理语句 | 否 | 是 | 是 |
客户端预处理语句 | 否 | 否 | 是 |
上面所说的预处理语句就是用于参数化查询的。可以看到,除了旧的 mysql 扩展不支持,mysqli 和 PDO 这两个新扩展都支持参数化查询。PDO 扩展相比 mysqli 扩展的好处是,它是与关系数据库类型无关的,因此很方便切换数据库,比如从 MySQL 切换到 PostgreSQL。
首先我们来看看利用 mysqli 扩展如何使用参数化查询。例如:
- $mysqli = new mysqli("localhost","dbusername", "dbpassword", "database");
- $username= "somename";
- $password= "someword";
- $query = "SELECT filename, filesize FROM users WHERE (name = ?) and (password = ?)";
- $stmt = $mysqli->stmt_init();
- if ($stmt->prepare($query)) {
- $stmt->bind_param("ss",$username, $password);
- $stmt->execute();
- $stmt->bind_result($filename,$filesize);
- while($stmt->fetch()) {
- printf ("%s : %d\n",$filename, $filesize);
- }
- $stmt->close();
- }
- $mysqli->close();
再看看用 PDO 扩展如何使用参数化查询。例如:
- $pdo = new PDO("mysql:host=localhost;dbname=database","dbusername", "dbpassword");
- $username= "somename";
- $password= "someword";
- $query = "SELECT * FROM users WHERE (name = :username) and (password = :password)";
- $statement= $pdo->prepare($query,array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
- $statement->bindParam(":username",$username, PDO::PARAM_STR, 10);
- $statement->bindParam(":password",$password, PDO::PARAM_STR, 12);
- $statement->execute();
- while ($row = $statement->fetch(PDO::FETCH_ASSOC)) {
- printf ("%s : %d\n",$row["filename"],$row["filesize"]);
- }
- $statement->closeCursor();
- $pdo = null;