PHP中PDO執行個體詳解

1. 何為PDO？

PDO（PHP資料對象） 是一個輕量級的、具有相容介面的PHP資料連線拓展，是一個PHP官方的PECL庫，隨PHP 5.1發布，需要PHP 5的物件導向支援，因而在更早的版本上無法使用。它所提供的資料接入抽象層，具有與具體資料庫類型無關的優勢，為它所支援的資料庫提供統一的操作介面。目前支援的資料庫有Cubrid、FreeTDS / Microsoft SQL Server / Sybase、Firebird/Interbase 6、IBM DB2、IBM Informix Dynamic Server、MySQL 3.x/4.x/5.x、Oracle Call Interface、ODBC v3 (IBM DB2, unixODBC and win32 ODBC)、PostgreSQL、SQLite 3 and SQLite 2、Microsoft SQL Server / SQL Azure等。由於PDO是在底層實現的統一的資料庫操作介面，因而利用它能夠實現更進階的資料庫操作，比如預存程序的調度等。

2. PDO執行個體

下面將實現一個用PDO串連SQLite資料庫的實現分頁顯示的例子，查詢的結果輸出為JSON資料。

<?php$cat = isset ($_GET['cat']) ? $_GET['cat'] : "1";$pg = isset ($_GET['pg']) ? $_GET['pg'] : "1"; $limit = 10;$dbname = 'shelf.sqlite';try {$db = new PDO("sqlite:" . $dbname);$sth = $db->prepare('select * from book where cat_id=:id limit :offset, :limit', array (PDO :: ATTR_CURSOR => PDO :: CURSOR_FWDONLY)); $result = $sth->execute(array (':id' => $cat,':offset' => ($pg -1) * $limit,':limit' => $limit));$list = array ();$query = $db->query('select count(*) from book where cat_id=' . $cat)->fetch(); //Only 1 row$list["count"] = $query[0];if ($result) {while ($row = $sth->fetch(PDO :: FETCH_ASSOC)) {$list["books"][] = $row;}} else {print_r($db->errorInfo());} $db = NULL; echo str_replace('\\/', '/', json_encode($list)); } catch (PDOException $ex) {print_r($ex);}?>

3. PDO中的常量

PDO庫中定義了一些靜態常量，這些常量用PDO :: <NAME>的方式進行調用。比如在prepare()語句中經常這樣使用：

$query=$db->prepare('select * from book where cat_id=:id limit :offset, :limit', array (PDO :: ATTR_CURSOR => PDO :: CURSOR_FWDONLY));

這裡的PDO :: ATTR_CURSOR和PDO :: CURSOR_FWDONLY都是PDO常量，這裡將資料庫的cursor類型設為forward only。

4. PDO中的串連和串連管理

PDO中的串連是通過建立PDO類的執行個體而建立的。創造時需要提供資料來源名稱（DSN）及可選的使用者名稱和密碼等參數。在這個過程中值得注意的是，如果發生異常，PHP的Zend引擎預設操作是將具體的錯誤資訊顯示出來，這就帶來一個問題：串連資訊（資料位元置、使用者名稱、密碼等）可能遭到泄露。因此，為嚴防此類不幸的事情發生，一定要顯式捕獲異常，無論是用try...catch語句還是用set_exception_handler()函數，隱藏一些敏感性資料。所不同的是，調用set_exception_handler()後代碼的執行將終止，而採用try...catch的形式，異常之後的代碼將繼續執行，正如try...catch語句的原意一般（更多請移步：PHP學習筆記之異常捕獲與處理）。

<?php$db = new PDO('mysql:host=localhost;dbname=test', $user, $pass);//使用建立立的資料庫連接。//... ...//串連在PDO執行個體的生命週期裡是活動的。使用完畢後應當關閉此串連，若不這樣做PHP在代碼結束時才關閉此串連，將佔用一部分記憶體。$db = null;?>

當然，事情並不都是這樣，有時我們可能會需要一個永久的串連。具體做法是在PDO的建構函式裡再加一個參數：

<?php$db = new PDO('mysql:host=localhost;dbname=test', $user, $pass, array(    PDO::ATTR_PERSISTENT => true));?>

永久的串連能夠跨越代碼，在一個代碼執行完畢時並未被關閉，而是被緩衝起來，以供另一段擁有同樣許可權的代碼重複使用。這樣便不必每次都建立一個串連，省了不少事不說，還能夠加快網站速度。

5. PDO中的查詢操作:exec/query/prepared statement

在PDO中有三種方法執行查詢操作，分別是用exec、query和使用prepared statement。三種方法各有利弊，先說exec。

（1）PDO::exec()一般用於執行一次的SQL語句，返回受查詢影響的行數。它不適用於SELECT語句，如果需要用一次是SELECT語句，可以用PDO::query()；也不適用於多次使用的語句，如果有多次使用的需求，考慮用PDO::prepare()。

（2）PDO::query()用於執行一次SELECT語句，執行後應當隨即使用PDOStatement::fetch()語句將結果取出，否則立即進行下一次的PDO::query()將會報錯。在2.PDO執行個體部分，為了得到查詢資料的總量，就用了PDO::query()語句。

（3）PDOStatement表示一個prepared statement語句，而在執行之後，又將返回一組關聯陣列的結果。如果一類查詢（查詢結構相似而具體的參數不一）需要一次解析而執行使用很多次，可以先用prepared statement，這樣可以為具體的查詢的執行做好準備，避免了分析、編譯、最佳化的迴圈，將減少資源佔用率，從而提高運行效率。通過對資料庫進行prepare操作，便會返回PDOStatement資料類型，從而在其基礎上展開execute、fetch等進一步的操作。

 $sth = $db->prepare('select * from book where cat_id=:id limit :offset, :limit', array (PDO :: ATTR_CURSOR => PDO :: CURSOR_FWDONLY));//用$limit1得到一個結果$result1 = $sth->execute(array (        ':id' => $cat,        ':offset' => ($pg -1) * $limit1,        ':limit' => $limit1    ));//用$limit2得到另一個結果$result2 = $sth->execute(array (        ':id' => $cat,        ':offset' => ($pg -1) * $limit2,        ':limit' => $limit2    ));

使用prepared statement還有一個好處就是，語句裡不再使用引號，PDO driver已自動完成這一操作，可以防止SQL注入攻擊的危險。查詢語句裡可以使用包含名字的（:name）和問號（?）的參數預留位置，分別將用associated array 和indexed array傳入數值。

//用位置參入參數$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");$stmt->bindParam(1, $name);$stmt->bindParam(2, $value);//用名稱傳入參數$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");$stmt->bindParam(':name', $name);$stmt->bindParam(':value', $value);$name = 'one';$value = 1;$stmt->execute();///////////////////////////////////////////////也可以這樣實現//用位置參入參數，indexed array$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");$name = 'one';$value = 1;$stmt->execute(array($name,$value));//用名稱傳入參數, associated array$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");$name = 'one';$value = 1;$stmt->execute(array(':name'=>$name,':value'=>$value));

特別注意：查詢語句中的預留位置應當是佔據整個值的位置，如果有模糊查詢的符號，應當這樣做：

// placeholder must be used in the place of the whole value$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");$stmt->execute(array("%$_GET[name]%"));//下面這樣就有問題了$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");$stmt->execute(array($_GET['name']));