- $query=$db->prepare('select * from book where cat_id=:id limit :offset, :limit', array (
- PDO :: ATTR_CURSOR => PDO :: CURSOR_FWDONLY
- ));
这里的 PDO :: ATTR_CURSOR 和 PDO :: CURSOR_FWDONLY 都是 PDO 常量,这里将数据库的 cursor 类型设为 forward only。
4. PDO 中的连接和连接管理 PDO 中的连接是通过创建 PDO 类的实例而建立的。创造时需要提供数据源名称(DSN)及可选的用户名和密码等参数。在这个过程中值得注意的是,如果发生异常,PHP 的 Zend 引擎默认操作是将具体的错误信息显示出来,这就带来一个问题:连接信息(数据位置、用户名、密码等)可能遭到泄露。因此,为严防此类不幸的事情发生,一定要显式捕获异常,无论是用 try...catch 语句还是用 set_exception_handler() 函数,隐藏一些敏感数据。所不同的是,调用 set_exception_handler() 后代码的执行将终止,而采用 try...catch 的形式,异常之后的代码将继续执行,正如 try...catch 语句的原意一般(更多请移步:)。
- php
- $db = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
- //使用新建立的数据库连接。
- //... ...
- //连接在PDO实例的生命周期里是活动的。使用完毕后应当关闭此连接,若不这样做PHP在代码结束时才关闭此连接,将占用一部分内存。
- $db = null;
- ?>
当然,事情并不都是这样,有时我们可能会需要一个永久的连接。具体做法是在 PDO 的构造函数里再加一个参数:
- php
- $db = new PDO('mysql:host=localhost;dbname=test', $user, $pass, array(
- PDO::ATTR_PERSISTENT => true
- ));
- ?>
永久的连接能够跨越代码,在一个代码执行完毕时并未被关闭,而是被缓存起来,以供另一段拥有同样权限的代码重复使用。这样便不必每次都新建一个连接,省了不少事不说,还能够加快网站速度。
5. PDO 中的查询操作: exec/query/prepared statement 在 PDO 中有三种方法执行查询操作,分别是用 exec、query 和使用 prepared statement。三种方法各有利弊,先说 exec。 (1)PDO::exec() 一般用于执行一次的 SQL 语句,返回受查询影响的行数。它不适用于 SELECT 语句,如果需要用一次是 SELECT 语句,可以用 PDO::query();也不适用于多次使用的语句,如果有多次使用的需求,考虑用 PDO::prepare()。(2)PDO::query() 用于执行一次 SELECT 语句,执行后应当随即使用 PDOStatement::fetch() 语句将结果取出,否则立即进行下一次的 PDO::query() 将会报错。在 2.PDO 实例部分,为了得到查询数据的总量,就用了 PDO::query() 语句。
(3)PDOStatement 表示一个 prepared statement 语句,而在执行之后,又将返回一组关联数组的结果。如果一类查询(查询结构相似而具体的参数不一)需要一次解析而执行使用很多次,可以先用 prepared statement,这样可以为具体的查询的执行做好准备,避免了分析、编译、优化的循环,将减少资源占用率,从而提高运行效率。通过对数据库进行 prepare 操作,便会返回 PDOStatement 数据类型,从而在其基础上展开 execute、fetch 等进一步的操作。
- $sth = $db->prepare('select * from book where cat_id=:id limit :offset, :limit', array (
- PDO :: ATTR_CURSOR => PDO :: CURSOR_FWDONLY
- ));
- //用$limit1得到一个结果
- $result1 = $sth->execute(array (
- ':id' => $cat,
- ':offset' => ($pg -1) * $limit1,
- ':limit' => $limit1
- ));
- //用$limit2得到另一个结果
- $result2 = $sth->execute(array (
- ':id' => $cat,
- ':offset' => ($pg -1) * $limit2,
- ':limit' => $limit2
- ));
使用 prepared statement 还有一个好处就是,语句里不再使用引号,PDO driver 已自动完成这一操作,可以防止 SQL 注入攻击的危险。查询语句里可以使用包含名字的(:name)和问号(?)的参数占位符,分别将用 associated array 和 indexed array 传入数值。
- //用位置参入参数
- $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
- $stmt->bindParam(1, $name);
- $stmt->bindParam(2, $value);
- //用名称传入参数
- $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
- $stmt->bindParam(':name', $name);
- $stmt->bindParam(':value', $value);
- $name = 'one';
- $value = 1;
- $stmt->execute();
- //也可以这样实现
- //用位置参入参数,indexed array
- $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
- $name = 'one';
- $value = 1;
- $stmt->execute(array($name,$value));
- //用名称传入参数, associated array
- $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
- $name = 'one';
- $value = 1;
- $stmt->execute(array(':name'=>$name,':value'=>$value));
特别注意:查询语句中的占位符应当是占据整个值的位置,如果有模糊查询的符号,应当这样做:
- // placeholder must be used in the place of the whole value
- $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
- $stmt->execute(array("%$_GET[name]%"));
- //下面这样就有问题了
- $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
- $stmt->execute(array($_GET['name']));
来源: http://www.cnblogs.com/axj1993/p/6504497.html