如何使用PDO的query、prepare 和 exec 函数检索、插入、更新和删除数据

原创 已于 2022-08-01 22:21:39 修改 · 1.7k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#php
于 2022-04-12 14:47:56 首次发布
这篇教程介绍了如何使用PDO的exec、query和prepare方法安全地进行数据库操作。PDO::exec适用于无结果集的更新和删除操作,而PDO::query用于执行SELECT查询并返回结果集。PDO::prepare是用于防止SQL注入的安全方法,适合处理来自不可信源的数据。通过示例代码展示了如何使用这些方法更新、删除、插入记录以及安全地处理Web表单数据。

在本教程中,您将学习如何使用PDO的query、prepare  exec 函数检索、插入、更新和删除数据。下表显示了和的简要比较PDO::exec、PDO::query和PDO::prepare

比较 PDO::exec、PDO::query 和 PDO::prepare
exec()query()prepare()
返回NumberPDOStatementPDOStatement
查询内的数据转义必需的必需的不需要
SQL注入安全是的
使用 SELECT 语句获取数据是的是的
表现普通的普通的更好的
安全的是的
安全地使用 Web 表单数据是的

在继续之前,我们首先连接到数据库:

<?php
$user = 'Brain';
$pass = 'Bell';
$dsn  = 'mysql:host=localhost;dbname=brainbell;charset=utf8';
$dbh  = null;
try {
 $dbh = new PDO ($dsn, $user, $password);
} catch (PDOException $e) {
 echo 'Connection Failed: '.$e->getMessage();
 exit;
}

发送 SQL 查询

我们可以使用$dbh->exec,$dbh->query$dbh->prepare方法发送 SQL 查询:

  • PDO::exec执行一条 SQL 语句并返回受影响的行数。您可以使用此方法执行您不期望结果集的任何 SQL 查询,因此此方法不得用于SELECT来自 db 的行:
//Updating records
$sql = 'UPDATE lessons SET pdate="2019-10-01"
                     WHERE pdate="2010-10-10"';

$affectedRows = $dbh->exec($sql);
echo $affectedRows;

PDO::exec– 删除记录:

//Deleting records
$sql = 'DELETE FROM lessons
          WHERE pdate="2010-10-10"';

$affectedRows = $dbh -> exec($sql);

PDO::exec– 插入记录:

$sql = 'INSERT INTO lessons (name, pdate)
         VALUES ("PHP", "2019-10-01"),
                ("MySQL", "2019-10-02")';

$dbh -> exec($sql);
  • PDO::query执行 SQL 语句,将结果集作为PDOStatement对象返回。如果查询数据来自不受信任的来源,则必须正确转义查询数据以避免 SQL 注入。要检查受影响的行,我们需要使用以下PDOStatement::rowCount()方法:
//Updating records
$sql = 'UPDATE lessons SET pdate="2019-10-01"
                     WHERE pdate="2010-10-10"';

$sth = $dbh -> query($sql);
echo $sth -> rowCount();

您还可以使用SELECT语句从数据库中获取行(这是不可能的PDO::exec方法):

$sql = 'SELECT * FROM lessons WHERE id=5 LIMIT 1';

$sth = $dbh -> query($sql);
$row = $sth -> fetch(); //Fetch a single row/record
  • PDO::prepare准备执行语句并返回一个PDOStatement对象。如果数据来自不受信任的来源(例如来自 Web 表单),则必须使用准备好的语句来防止 SQL 注入攻击。绑定表单参数并执行查询后,您可以运行PDOStatement方法,例如rowCount()fetchfetchAll等:
//Form data
$oldDate = $_POST['edate'];
$newDate = $_POST['ndate'];


$sql = 'UPDATE lessons SET pdate = ?
                     WHERE pdate = ?';

$sth = $dbh -> prepare($sql);

$sth -> bindParam(1, $oldDate);
$sth -> bindParam(2, $newDate);
$sth -> execute();

echo $sth->rowCount();

使用从数据库中选择记录PDO::prepare

//Form data
$startDate = $_POST['sdate'] ?? null;
$endDate   = $_POST['edate'] ?? null;


$sql = 'SELECT * FROM lessons 
        WHERE pdate > ? WHERE pdate < ?';

$sth = $dbh -> prepare($sql);
$sth -> bindParam(1, $startDate);
$sth -> bindParam(2, $endDate);
$sth -> execute();

$rows = $sth -> fetchAll();

用于prepare()插入记录:

//Form data
$date = $_POST['date'] ?? null;
$name = $_POST['name'] ?? null;

if (!($date && $name)){
 //error message
 exit;
} else {
 //validation
}

$sql = 'INSERT INTO lessons (name, pdate) VALUES (?,?)'; 
$sth = $dbh -> prepare($sql);
$sth -> bindParam(1, $name);
$sth -> bindParam(2, $date);
$done = $sth -> execute();

if (!$done) {
 //record not saved to db
 echo $sth->errorCode();
}
allway2
关注
【sql注入-堆叠注入】多语句执行、结合其他注入
07-12 6103
【堆叠注入】相比其他注入能执行的操作更多
PHP快速上手(十二)】
qq_38641481的博客
04-19 1274
使用面向过程的MySQLi方式创建数据表时,需要手动处理连接关闭连接的操作,相对而言较为繁琐。而且在实际开发中,为了提高代码的可维护性可扩展性,建议使用面向对象的MySQLi或PDO方式来操作数据库。需要注意的是,创建数据表时应该根据业务需求仔细设计表的字段类型、长度、约束等,以确保数据表的设计符合需求。PDOPHP 提供的数据库抽象层,可以用于连接操作多种数据库,包括 MySQL。在上面的代码中,使用面向过程的风格创建连接、执行查询、处理结果集关闭连接。
Qt使用sqlite数据库及项目实战
最新发布
qq_71286244的博客
07-05 8873
本文详细介绍了在qt中如何使用sqlite,如何对数据进行增删查改等操作,并且有一个完整的项目进行介绍。
query.execquery.prepare+bindValue+exec的区别【用错了,可能不返回数据
weixin_43481260的博客
09-09 2245
不管什么情况,都是直接用query.prepare+bindValue+exec,傻傻的分不清,其实也根本没想过,直到昨天发现无法返回数据的故障才开始琢磨。这是一种简单的方法,比如只有一个查询,不带其它参数,如:select * from table,特点就是简单。若您只是想执行一个简单的请求,并没有什么参数,那请不要用后一种方法,否则你可能得不到任何数据。还有就是:insert delete update 等语句,也必须用这种方式。
mysql pdo query_通过pdoquery()方法对数据库进行操作
weixin_36467992的博客
01-21 724
看完本视频后请放下一颗激动骄傲的心仔细学习下一节(重要的预处理)!
pdo连接mysql操作方法
weixin_30791095的博客
04-01 273
PDO常用方法: PDO::query()主要用于有记录结果返回的操作(PDOStatement),特别是select操作。 PDO::exec()主要是针对没有结果集合返回的操作。如insert,update等操作。返回影响行数。PDO::lastInsertId()返回上次插入操作最后一条ID,但要注意:如果用insert into tb(col1,col2) values(v1...
Qt中SQL QSqlQuery 对象中prepare() 函数的用法
热门推荐
周杰伦
09-05 1万+
Qt中利用SQL对数据库的操作prepare()函数使用 Qt数据库的初学说明 Qt中可以建立一个数据库,比如:QSqlDatabasedb;这是一个数据库对象db,在操作之前我们需要用QSQLITE去驱动它链接它,db=QSqlDatabase::addDatabase("QSQLITE");然后可以设置他的名字db.setDatabaseName(“”),再到后面我们可以打开它db.o...
php pdo->query,PDO->query()
weixin_33734005的博客
03-29 675
PDO->query() 用于查询数据记录并返回查询结果。语法:PDO->query( string statement )例子://构造PDO连接$dbh = "mysql:host=localhost;dbname=test";$db = new PDO($dbh, 'root', 'root123');$db->query("set character set 'gbk'"...
preparestatement的插入时间问题
weixin_34357267的博客
09-10 804
2019独角兽企业重金招聘Python工程师标准>>> ...
【Qt】数据库实战(三)
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师、鸿蒙讲师---欢迎大家一起交流(私信添加博主微信)
03-25 3346
00. 目录 文章目录00. 目录01. 概述02. 开发环境03. 增删改查操作04. 名字绑定位置绑定05. 程序示例06. 批处理操作07. 事务操作08. 附录 01. 概述 Qt数据库模型中提供名字绑定位置绑定。 02. 开发环境 Windows系统:Windows10 Qt版本:Qt5.15或者Qt6 03. 增删改查操作 3.1 数据库查询参考代码 //数据库查询 QSqlQuery query; query.exec("select * from dept"); while (quer
PHP-单例模式封装PDO,简化数据库查询、插入更新
小白
04-16 1709
简化PDO方式操作数据库,封装成ReadWrite两个方法,减少工作量 一、数据库相关信息 数据库名为:dian 数据表名:dian_users 有userpass字段 二、实现代码 1.封装类文件名 sql_class.php <?php class sql_class{ //-------------------------------------------- priv...
QT的QsqlQuery使用prepare()exec()用法上的误区
qq_45514832的博客
04-07 4298
QT在使用sql语句时常用QSqlQuery query(m_db)通过通配符sql语句的方法来实现 1、通配符的方法一: QSqlQuery query(m_db); query.prepare( "SELECT * from function_sheilding WHERE sheildType = :type" ); QString str = "TOF"; query.bindValue(":type", str); if ( !query.exe
php pdo获取查询数据_PHP使用PDO获取查询结果
weixin_39611070的博客
03-09 1449
PDO数据获取方法与其他数据库扩展都非常类似,只要成功执行 SELECT 查询,都会有结果集对象生成。不管是使用 PDO 对象中的 query() 方法,还是使用 prepare() execute() 等方法结合的预处理语句,执行 SELECT 查询都会得到结果集对象 PDOStatement。通过 PDOStatement 类中的方法就可以获取 SELECT 语句的查询结果,下面介绍 ...
QueryWrapper的用法大全
没有简介
11-14 9424
MP中QueryWrapper的用法大全
PDO多种方式取得查询结果
PHP&wahaha
01-07 907
PDO最大的特点之一是它的灵活性,本节将介绍如何取得查询结果,包括: 数组(数值或关联数组); 字符串(单列的结果集); 对象; 回调函数。 1.快取一行 FetchColumn是为应用程序取得一个仅包含单列的数据,代码如下: $u = $db->query(“SELECT id FROM users WHERE login= ‘login’ AND
PHPPDO连接数据库、查询数据
weixin_43731793的博客
09-17 6297
** ** ** **
PHP学习笔记之PDO
weixin_34319999的博客
03-20 254
1. 何为PDOPDOPHP数据对象) 是一个轻量级的、具有兼容接口的PHP数据连接拓展,是一个PHP官方的PECL库,随PHP 5.1发布,需要PHP 5的面向对象支持,因而在更早的版本上无法使用。它所提供的数据接入抽象层,具有与具体数据库类型无关的优势,为它所支持的数据库提供统一的操作接口。目前支持的数据库有Cubrid、FreeTDS / Microsoft SQL Server /...
pdo mysql操作语句_数据库操作类(PDO)-SQL语句操作
weixin_28857713的博客
02-04 433
# SQL操作## DDL ,DML操作用exec()方法,返回受影响的行数## 执行DQL语句 用query方法 返回PDOStatement对象# PDOStatement对象## rowCount()方法返回行数## fetch()方法返回结果集的一行【一维数组】并指针下移### fetch()方法的参数#### PDO::FETCH_ASSOC:返回关联数组#### PDO::FETCH...
mysql pdo query_PHP+MYSQL中使用PDOquery方法
weixin_35698091的博客
02-07 313
一 代码PDO连接MySQL数据库IDPDO数据库时间$dbms='mysql'; //数据库类型 ,对于开发者来说,使用不同的数据库,只要改这个,不用记住那么多的函数$host='localhost'; //数据库主机名$dbName='db_database15'; //使用数据库$user='root'; //数据库连接用户名$pass='root'; ...
PDO插入示例
allway2的博客
09-16 509
这是关于如何使用 PHPPDO 对象将行插入 MySQL 数据库的初学者教程。如果您打算使用 PDO 扩展,请务必将上述 SQL 导入您自己的数据库。请注意我们如何两次执行相同的语句,而不必为每次插入准备一个新语句。但是,对于本教程,我将坚持基础知识。出于本示例的目的,我创建了一个名为。请注意,您可以重复使用相同的语句来。使用 PDO 的速记/快速插入。如您所见,这种方法要快得多。使用 PDO 插入多行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值