pdo(php database object)扩展为php访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库,都可以通过一致的函数执行查询和获取数据。在数据库操作方面更加安全更加高效!
pdo为php访问各类数据库定义了一个轻量级一致性的接口,无论什么数据库,都可以通过一致的方法执行查询和获取数据,而不用考虑不同数据库之间的差异,大大简化了数据库操作。使用pdo可以支持mysql、postgresql、oracle、mssql等多种数据库。
什么是预处理?
成熟的数据库都支持预处理语句(prepared statements)的概念。
它们是什么东西?你可以把它们想成是一种编译过的要执行的sql语句模板,可以使用不同的变量参数定制它。
预处理语句具有两个主要的优点:
1、查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。
对于复杂查询来说,如果你要重复执行许多次有不同参数的但结构相同的查询,这个过程会占用大量的时间,使得你的应用变慢。
通过使用一个预处理语句你就可以避免重复分析、编译、优化的环节。简单来说,预处理语句使用更少的资源,执行速度也就更快。
2、传给预处理语句的参数不需要使用引号,底层驱动会为你处理这个。
如果你的应用独占地使用预处理语句,你就可以确信没有sql注入会发生。
代码演示:
如果当你使用pdo预处理插入一条数据时候,报错
<?php
$dsn = 'mysql:dbname=test;host=127.0.0.1';
$user = 'root';
$password = '';
try {
$dbh = new pdo($dsn, $user, $password);
} catch (pdoexception $e) {
echo 'connection failed: ' . $e->getmessage();
}
/* execute a prepared statement by passing an array of values */
$sth = $dbh->prepare('insert into room (create_time,create_uid,exp_time,is_private) values (?,?,?,?)');
$rs = $sth->execute([2018-05-14 14:10:04,0,1526278504,1]);
var_dump($sth->errorinfo());exit;报错
array (size=3)
0 => string ‘hy000’ (length=5)
1 => int 1364
2 => string ‘field ‘id’ doesn’t have a default value’ (length=39)
这是由于你设计的表的主键没有auto_increment
解决方法
可以加入自增长或者预处理语句中加入主键字段