在过去的几天里,我一直在关注很多关于与数据库交互的不同方式的教程。像旧的 MySQL 方式,MySQLi,MySQLprepared statement,PHP 的 PDO 等。
我仍然是编程的新手,因为我学习并开始编码还不到 1 年。我不时地在改进我的代码和遵守 Web 开发人员定义的标准方面付出了很多努力。现在是时候让我觉得我改变了使用旧 MySQL 方式(如 mysql_connect() 和 mysql_query())与数据库交互的方式。
我的生产机器上有以下配置。
你认为我应该使用什么来访问数据库,为什么?
【问题讨论】:
标签: php mysql database pdo mysqli
MySQL Prepared Statement 是SQL implementation,我发现它在PHP 中几乎不可用这让我们只有两个可能的选择
【讨论】:
PDO for MySQL 与直接使用 MySQLi 相比有几个主要优势。
?) 占位符之外,PDO 中的准备好的语句还支持命名占位符。call_user_func_array() 黑魔法。$stmt->execute() 来支持便捷的快捷方式,其中每个键的值都绑定到占位符作为键。 (警告:它将每个值转换为一个字符串,所以你必须bind one at a time if your statement has a variable LIMIT。这是documented,还有一个feature request to change this casting to string。)第 2 到 4 项结合起来,非常更容易以可证明的注入安全方式表达运算符 IN 的右侧。使用 PDO,您可以构建一个具有连续名称的关联数组(例如 [':likeval0'=>$val0, ':likeval1'=>$val1, ':likeval2'=>$val2]),然后在该数组的右侧安全地构建一个占位符列表。代码可能如下所示:
$args = [];
foreach ($usernames as $n=>$value) {
$args[":likeval$n"] = $value;
}
$list = implode(',', array_keys($args));
// result is like ':likeval0,:likeval1,:likeval2'
$stmt = "SELECT * FROM app_users WHERE `username` IN ($list)";
$stmt = $dbh->prepare($stmt);
$c = $stmt->execute($args);
MySQLi 仅支持? 占位符和通过变量参数函数调用的一次性绑定。在 MySQLi 中,通过对列表中的每个元素使用 $dbh->escape_string(),构造运算符 IN 的右侧实际上要容易得多。如果经过良好测试,这种方法对 SQL 注入是安全的,但会引发一些 "Bobby Tables" parameterization purists 的危险信号。
【讨论】:
这真的取决于你在做什么。
如果您正在执行大量使用预准备语句的大量查询,预准备语句(通过 mysqli 或 PDO)可能会很有用。准备好的语句更快,此外,您不必担心使用准备好的语句转义数据之类的事情,但是它们会占用一些代码开销,因此对于一个简单的应用程序,有时不值得使用准备好的语句并使用旧的 mysql_* 函数是更容易达到预期目的。
【讨论】: