详解PHP中的PDO类(2)

然而出于某种原因，PDO实际上并没有真正的使用预处理，它是在模拟预处理方式，在将语句传给SQL服务器之前会把参数数据插入到语句中，这使得某些系统容易受到SQL注入。

如果你的SQL服务器不真正的支持预处理,我们可以很容易的通过如下方式在PDO初始化时传参来修复这个问题:
 

$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

接下来开始我们的第一个预处理语句吧：
 

$statement = $db->prepare('SELECT * FROM foods WHERE `name`=? AND `healthy`=?'); $statement2 = $db->prepare('SELECT * FROM foods WHERE `name`=:name AND `healthy`=:healthy)';

正如你所见，有两种创建参数的方法，命名的与匿名的（不可以同时出现在一个语句中）。然后你可以使用bindValue来敲进你的输入：
 

$statement->bindValue(1, 'Cake'); $statement->bindValue(2, true); $statement2->bindValue(':name', 'Pie'); $statement2->bindValue(':healthy', false);

注意使用命名参数的时候你要包含进冒号(:)。PDO还有一个bindParam方法，可以通过引用绑定数值，也就是说它只在语句执行的时候查找相应数值。

现在剩下的唯一要做的事情，就是执行我们的语句：
 

$statement->execute(); $statement2->execute(); // Get our results: $cake = $statement->Fetch(); $pie = $statement2->Fetch();

为了避免只使用bindValue带来的代码碎片，你可以用数组给execute方法作为参数，像这样：
 

$statement->execute(array(1 => 'Cake', 2 => true)); $statement2->execute(array(':name' => 'Pie', ':healthy' => false));

事务

前面我们已经描述过了什么是事务：

一个事务就是执行一组查询,但是并不保存他们的影响到数据库中。这样做的好处是如果你执行了4条相互依赖的插入语句,当有一条失败后,你可以回滚使得其他的数据不能够插入到数据库中,确保相互依赖的字段能够正确的插入。你需要确保你使用的数据库引擎支持事务。
开启事务

你可以很简单的使用beginTransaction()方法开启一个事务：
 

$db->beginTransaction(); $db->inTransaction(); // true!

然后你可以继续执行你的数据库操作语句，在最后提交事务：
 

$db->commit();

还有类似MySQLi中的rollBack()方法，但是它并不是回滚所有的类型（例如在MySQL中使用DROP TABLE）,这个方法并不是真正的可靠，我建议尽量避免依赖此方法。

其他有用的选项

有几个选项你可以考虑用一下。这些可以作为你的对象初始化时候的第四个参数输入。

$options = array($option1 => $value1, $option[..]); $db = new PDO($dsn, $username, $password, $options); PDO::ATTR_DEFAULT_FETCH_MODE

你可以选择PDO将返回的是什么类型的结果集，如PDO::FETCH_ASSOC，会允许你使用$result['column_name']，或者PDO::FETCH_OBJ，会返回一个匿名对象，以便你使用$result->column_name

你还可以将结果放入一个特定的类（模型），可以通过给每一个单独的查询设置一个读取模式，就像这样：
 

$query = $db->query('SELECT * FROM `foods`'); $foods = $query->fetchAll(PDO::FETCH_CLASS, 'Food'); PDO::ATTR_ERRMODE
- 所有读取模式

上面我们已经解释过这一条了，但喜欢TryCatch的人需要用到：PDO::ERRMODE_EXCEPTION。如果不论什么原因你想抛出PHP警告，就使用PDO::ERRMODE_WARNING。

PDO::ATTR_TIMEOUT

当你为载入时间而着急时,你可以使用此属性来为你的查询指定一个超时时间，单位是秒. 注意，如果超过你设置的时间，缺省会抛出E_WARNING异常, 除非 PDO::ATTR_ERRMODE 被改变.

更多属性信息可以在 PHP官网的属性设置 里查看到.
最后的思考

PDO是一个在PHP中访问你的数据库的很棒的方式，可以认为是最好的方式。除非你拒绝使用面向对象的方法或是太习惯 MySQLi 的方法名称，否则没有理由不使用PDO。

更好的是完全切换到只使用预处理语句，这最终将使你的生活更轻松！

您可能感兴趣的文章: