- 浏览: 90211 次
- 性别:
- 来自: 深圳
文章分类
最新评论
一、连接到mysql:
$dbc = mysqli_connect(host,user,password,databasename);
等价于:
$dbc = mysqli_connect(host,user,pwd);
mysqli_select_db($dbc,db_name);
如果发生错误,可以调用:mysqli_connect_error()
返回错误信息,不带参数。
$dbc = @mysqli_connect(host,user,pwd,db) or die('无法连接到mysql:'.mysqli_connect_error());
@是错误控制运算符,防止在web浏览器显示php错误。此外,@也可以放在mysqli_query前面。上面是一种首选做法,因为错误将由or die处理。die()会终止脚本执行。
可以将连接文件放在路径外。
设置编码:mysqli_query("set names gb2312");
二、执行查询:
不管是select, delete, update,insert 查询都是用:
$result=mysqli_query($dbc,SQL);
对于insert ,delete,update等查询不会返回结果,$result将返回true或false,因此可以用这个来判断下一步:
$result = mysqli_query($dbc,sql);
if($result) {//susses}
如果查询没有成功,必定发生某种mysql错误,可能调用
mysqli_error($dbc)
//注意和mysqli_connect_error()区别
三、关闭连接:
mysqli_close($dbc)
这不是必需要的,php会在脚本最后自动关闭,但最好写上。
四、多条查询:
mysqli_multi_query()
允许同时执行多条查询。但语法更复杂一点。特别是当返回结果时。
五、检索select查询结果:
mysqli_fetch_array($result [, type])
是最常用的,以数组格式一次返回一行数据。由它来配合while()
来遍历返回数据。带有一个可选参数type,用于指定返回的数组类型:关联的还是索引的,或二者均可。参数类型如下:
MYSQLI_ASSOC
示例:$rows['columnName']
MYSQLI_NUM
示例:$rows[0] ,这一种效率较高一点。
MYSQLI_BOTH
示例:$rows[0]或$rows['columnName']
当使用mysqli_fetch_array($result [, type])
后,可以采取一个可选步聚的是:一旦查询结果完成了工作,即可释放这些信息,来消除$result占用的系统内存开销。这一步是可选的,PHP同样也在会结果时自动清理:
mysqli_free_result($result)
//注意参数是不是$rows!
流程如下:
while($rows=mysqli_fetch_array($result)) //或while($rows=mysqli_fetch_array($result,MYSQLI_ASSOC))
{//遍历
.......code do something.......
echo $rows[0]
mysqli_free_result($result)
}
注意:
mysqli_fetch_array()和mysqli_fetch_array($result,MYSQLI_NUM)等价。
mysqli_fetch_assoc()和mysqli_fetch_array($result,MYSQLI_ASSOC)等价。
六、确保sql安全,使用转义函数:
mysqli_real_escape_string($dbc,para)
该函数接收字符串作为参数,用于检验用户提交的并将组合到sql查询语句的变量值,它将转义那些有可能无意或带恶意的字符。如单引号,在外国人的姓名有可能会包含该符号(如O'Toole),这时就需要用它。
案例:
$name = $_POST['name'];
$name = mysqli_real_escape_string($dbc,$name);
$query = "Select ... From tb where name='$name'";
//这样可以确保带入sql 时参数的安全。
注意:如果在使用php6之前的版本,若启用MAGIC QUOTES魔法引用时,那么在使用mysqli_real_escape_string前,需要用stripslashes(para)删除魔法引用添加的任何斜杠,如下:
$fn = mysqli_real_escape_string($dbc,trim(stripslashes($_POST['firstName'])));
备注:
在PHP5.3版本之前, mysqli_real_escape_string()函数存在路径泄漏问题,远程攻击者可以利用漏洞获得服务器端脚本的实际路径。即如果传递的参数值为数组而不是字符串的情况下会发出警告,警告消息中会包含有当前服务端运行脚本的完整路径信息。
测试方法:
http://localhost/cms/sqlfilter/sqlsanatizer.php?params
[]=
Warning: mysqli_real_escape_string() expects parameter 1 to be string,
array given in /var/www/vhosts/cms/sqlfilter/sqlsanatizer.php
七、统计select返回的记录数:
使用mysqli_num_rows($result)统计select 返回的结果行数。$num=mysqli_num_rows($r),对于上面所说的while流程,可以更改成以下更严谨的写法,而不只是分析查询是否成功,因为如果数据库为空的话,就不会出错。
$sql = "select * from tb where id=$id";
$r = @mysqli_query($dbc,$sql);
$num = mysqli_num_rows($r);
if($num>0){ //这样比if($r)更准确。不是仅仅分析是否成功运行。
// Do something;
mysqli_free_result($r)
}
mysqli_close($dbc);
八、返回insert ,update,delete受影响行数:
和上面不同的是,如果查询不是select则用mysqli_affected_rows()函数返回受影响行数。用法如下:
$num = mysqli_affected_rows($dbc);
//注意参数是$dbc;
如:
$q = "update tb set pass=SHA1('$newpassword') where id=$row[0]";
$r = @myslqi_query($dbc,$q);
if(mysqli_affected_rows($dbc)==1){
//Do something
}else{
echo mysqli_error($dbc);
exit(); //终止脚本。
}
注意:
1、如果使用truncate tb清空表时,则mysqli_affected_rows()会返回0,即使查询成功执行并且删除了每一行。
2、如果用update查询时,但实质上没有更改任何列的值,比如用相同的密码代替一个旧密码,则也会返回0。
九、批量查询:预处理语句(第12章第4节:P311)
版本:MYSQL 4.1开始添加预处理。php5可以使用。
预处理的好处:
1、更大安全性。2、更好性能。3、批量查询。
对于预处理语句,只会把查询本身发送给mysql,并且只会解析一次,然后单独把值发送给mysql。
$q = 'Insert into tb(num) values (?)';
$stmt = mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'i',$n);
for($n=1;$n<=100;$n++)
{
mysqli_stmt_execute($stmt);
}
可以通过insert , update , delete , select 查询创建预处理,步骤:
1、定义查询:
$q = "select firstname,lastname from users where uid = ?";
//(正常则是uid=$id)
2、将查询传给mysql预处理:
$stmt = mysqli_prepare($dbc,$q);
//此时mysql会解析查询,但不会执行。
3、将变量绑定到查询占位符"?",如下:
mysqli_stmt_bind_param($stmt,'i',$id);
其中'i'的含义是mysql_stmt_bind_param函数期望接收到的值为int类型,共有以下几种:
--------------------------------------------------------------------------------
字母 表示绑定的值类型
d Decimal
i Integer
b Blob (二进制类型)
s 所有其它类型
----------------------------------------------------------------------------------
如果查询语句有多个变量,如:
$q = "select uid,firstname from users where email=? AND pass=SHA1(?)";
//注意这里都没有对?问号加单引号,即使是字符型。这是和标准查询的区别。
多个变量直接在绑定时按顺序在引号内列出即可。如下:
$stmt = mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'ss',$e,$p);
还需要注意的时,在调用绑定函数前,可以不需要先对变量定义设置,如上面的$e,$p在下面才设置,这不会出错。
4、完成绑定后,可以给php变量赋值(如果还没有值的话)。然后执行语句。
$id=15;
mysqli_stmt_execute($stmt);
5、关闭预处理:
mysqli_stmt_close($stmt);
6、关闭连接
mysqli_close($dbc);
执行预处理时,如有出错则用mysqli_stmt_error($stmt)调用。
示例:
$dbc =mysqli_connect('localhost','username','pwd','forum');
$q = 'insert into messages(forumid,parentid,userid,subject,body,forumdate) values(?,?,?,?,?,NOW())';
$stmt = mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'iiiss',$forumid,$parentid,$userid,$subject,$body);
$forumid = (int)$_POST['forumid'];
$parentid=(int) $_POST['parentid'];
$user_id =3;
$subject = strip_tags($_POST['subject']); //strip_tags
$body = strip_tags($_POST['body']);
mysqli_stmt_execute($stmt);
if(mysqli_stmt_affected_rows($stmt)==1)
{
//do ....
}else{
echo mysqli_stmt_error($stmt);
}
mysqli_stmt_close($stmt);
mysqli_close($dbc);
以上演示了预处理的一种语句,实际上预处理有两种语句:
1、绑定参数(bound parameter):如上面的示例
2、绑定结果(bound result):将查询结果绑定到php变量。
十、阻止sql注入:(第12章第4节:P311)
1、验证在查询中要使用的数据,如果有可能,就可执行类型强制转换。如:
$forumid = (int)$_POST['forumid'];
if($forumid>0) .... //如果强制转换成int完=0时,则不符数据型要求。
2、使用mysqli_real_escape_string($dbc,para)
3、使用mysqli_real_escape_string($dbc,para)替代办法:预处理,参上面。
十一、早先的php和mysql连接方式:
mysql_connect,在写法上只差上面一个字母i,但用法差不多。以下简单示例:
$conn = mysql_connect("127.0.0.1","mysqltest","123456");
mysql_select_db("shop"); //如果用$selectdb = mysql_select_db("shop");则$selectdb=1
mysql_query("set names gb2312"); //mysql_query("set names utf8");
$exec="select * from product";
$result=mysql_query($exec,$conn); //或:$result=mysql_query($exec);
while($rs=mysql_fetch_object($result))
{
echo "品名:[".$rs->pname . "] ";
echo "价格:".
$rs->price . " ";
echo "入库时间:".$rs->addTime . " ";
echo "<br />";
}
echo $result;
如果要进行结果判断有无再输出,则可以用:
$conn = mysql_connect("127.0.0.1","mysqltest","123456");
mysql_select_db("shop");
mysql_query("set names gb2312"); //mysql_query("set names utf8");
$exec="select * from product";
if($result=mysql_query($exec,$conn)){
while($rs=mysql_fetch_object($result))
{
echo "品名:[".$rs->pname . "] ";
echo "价格:".
$rs->price . " ";
echo "入库时间:".$rs->addTime . " ";
echo "<br />";
}
}
附:
A、在insert后取得最后一条记录:2种方法:
1、使用mysql的:last_insert_id() 函数。“insert into ....;select last_insert_id()”
2、使用php 的 mysql_insert_id() 或mysqli_insert_id() 返回同样的值:
PHP的 mysql_insert_id ( [resource $link_identifier] ) 函数可以返回你需要的ID。 可选参数是php连接mysql的句柄。 每个连接都有不同的句柄。如:
mysql_query("INSERT INTO mytable (product) values ('kossu')");
printf ("Last inserted record has id %d\n", mysql_insert_id());
B、几个函数:
trim() , ltrim(), rtrim()
exit(),
strip_tags()去掉字符串中包含的任何 HTML 及 PHP 的标记字符串。若是字符串的 HTML 及 PHP 标签原来就有错,例如少了大于的符号,则也会返回错误。而本函数和 fgetss() 有着相同的功能。
$text = '<p>Test paragraph.</p><!-- Comment --> <a href="#fragment">Other text</a>';
echo strip_tags($text); //结果:Test paragraph. Other text
// 许可用 <p> and <a>
echo strip_tags($text, '<p><a>'); //结果:<p>Test paragraph.</p> <a href="#fragment">Other text</a>
发表评论
-
RedHat下安装并开启PHP GD库的方法
2014-10-13 15:25 2124GD库是PHP进行图文操作时一个重要的库。红帽系统适合用编译安 ... -
PHP获得真实客户端的真实IP
2014-09-25 10:19 1800REMOTE_ADDR 是你的客户端跟你的服务器“握手”时候的 ... -
xxtea加密解密算法的PHP实现
2012-11-29 10:35 1630Class Xxtea { pu ... -
PHP:字符串变量中大括号(花括号{})的作用
2012-11-29 09:50 1610PHP 变量后面加上一个大括号{},里面填上数字,就是指 PH ... -
Linux下的 ZipArchive 配置
2012-08-22 13:25 3554今天在Linux底下上传Excel文件时,抛出“Z ... -
解决PHP不能上传、拷贝含有中文路径文件的问题
2012-08-01 16:29 4359在使用copy()、 move_uploaded_file ... -
empty(), is_null(), isset() 的真值表
2012-06-25 16:22 960比较全面,以便不时之需。 -
PHP获取当前时间的毫秒数
2012-06-25 16:04 238741 second = 1000 millisecond = 1 ... -
PHP之引用
2012-06-07 16:01 1033所谓PHP的引用,就是不同的名字访问同一个变量内容。可 ... -
解决PHP之 Allowed memory size of xxx bytes exhausted
2012-05-25 10:30 4887今天写了个死循环 ... -
CI框架与widget(页面布局)
2012-02-10 11:24 1678在WEB开发过程中,我们免不了要输出视图文件,而 ... -
解决url传输的中文字符乱码
2011-12-31 18:16 1145今天在做接口的时候,遇到在url里带参数时,当传入中文字符 ... -
关于obstart()
2011-12-13 09:54 944最近在开发一系列 ... -
PHP开发编码规范
2011-11-29 10:20 1273在PHP的编写过程中,越 ... -
sprintf用法小记
2011-11-14 11:06 1117sprintf()函数非常适合生成数据库查询,从而避免我们手工 ... -
Apache服务器解析shtml
2011-09-16 11:27 1194首先要配置apache服务器,让apache支持shtml的解 ... -
WindowsXP下Wamp5集成安装memcached
2011-09-16 10:01 1389随着各种公司业务的发展,memcache缓存在为各公司的数 ... -
php中header的用法【转载】
2011-07-25 15:30 893header的用法 header()函数 ... -
php调用远程url的四种方法
2011-03-31 15:57 9861、 用file_get_contents 以get方式获取内 ... -
图片表单提交
2011-01-11 14:52 811很多情况下为了美化表单都会把提交按钮改成用一个图片来代替。 图 ...
相关推荐
虽然上述示例是基于C的,但你也可以使用C++来封装这些功能,创建更易用的对象模型,如数据库连接类和查询类。 总结,C语言对MySQL的操作涉及连接、查询、结果处理、错误处理等多个方面。通过学习和实践,你可以利用...
完成数据预处理和分析后,通常需要将结果导出以便于进一步的展示或报告制作。这里介绍如何将MySQL查询结果导出为Excel文件。 **导出步骤:** 1. **执行查询**:使用之前定义的SQL查询获取所需数据。 2. **导出文件...
总结,优化MySQL中的LIKE查询需要综合考虑查询语句的优化、索引的合理使用以及在应用程序层面进行预处理。结合JAVA模拟LIKE的策略,可以在不改变原有查询逻辑的情况下,显著提高查询效率。在实践中,应根据具体业务...
总结来说,MySQL的PREPARE预处理语句是提升数据库操作性能和安全性的有效手段,尤其是在需要频繁执行相同结构的SQL语句时。通过使用预处理语句,开发者可以编写更安全、高效的代码,同时降低了SQL注入的风险。
本教程将围绕“Node.js-模块查询MySQL数据库的简单Node”这一主题,详细介绍如何使用Node.js连接和查询MySQL数据库。 首先,我们需要安装必要的库。Node.js的`mysql2`模块提供了与MySQL数据库交互的功能。通过npm...
4. 执行SQL:通过预处理和执行SQL语句来完成增删改查操作。使用`PrepareStatement()`预处理SQL,然后用`Execute()`执行。 5. 处理结果集:如果查询返回结果,使用`FetchRow()`或`FetchAllRows()`来获取数据。 6. ...
在PHP开发中,数据库连接和查询是至关重要的部分。这篇文档将详细讲解如何使用PHP实现对多种数据库(如mssql, mysql, mysqli, oci8, odbc, pgsql, sqlite)的独立查询接口,以及相关的类和继承结构。 首先,`PHP`是...
总结来说,MySQL API和库为各种编程语言提供了丰富的工具和接口,使得开发者能够方便地在应用程序中集成MySQL数据库,进行高效的数据操作和管理。无论是嵌入式服务器库libmysqld还是各种编程语言的API,都为开发者...
总结来说,"php+mysql手机归属地查询"项目涵盖了PHP编程、MySQL数据库管理、Web服务接口设计、数据处理和前端交互等多个方面,是学习和实践Web开发技能的好例子。通过这个项目,开发者可以提升在服务器端编程、...
5. **SQL的执行流程**:SQL执行大致分为解析、预处理、优化、执行和返回结果五个阶段。在优化阶段,MySQL会根据表结构和索引选择最佳的执行计划。 6. **MySQL存储结构**:MySQL支持多种存储引擎,如InnoDB(事务...
在大数据处理和日志分析领域,Logstash是一个广泛使用的工具,它能够收集、解析和转发各种类型的数据。...同时,根据业务需求,可能还需要对数据进行适当的预处理和格式化,以确保最佳的索引效果和搜索性能。
总结,MySQL API和库是开发人员与MySQL数据库进行交互的基础。C API是最常用且功能最全的接口,而libmysqld为嵌入式应用提供了便利。通过了解和熟练掌握这些API,开发者能够高效地构建和优化MySQL相关的应用程序。
本教程将详述如何将Excel数据导入到MySQL数据库,以实现更高效的数据管理和查询。 Excel是一款由Microsoft开发的强大电子表格软件,常用于数据分析、报告制作和财务计算。而MySQL则是一款开源的关系型数据库管理...
SQL(Structured Query Language)是用于操作和查询数据库的语言。在MySQL中,SQL主要包含以下部分: 1. 数据定义语言(DDL):用于创建、修改和删除数据库对象,如表、视图、索引等。 2. 数据操纵语言(DML):用于...
《PHP+MySQL实战指南》 在信息技术领域,PHP与...总结,PHP与MySQL的组合是Web开发的强大工具,通过深入学习和实践,你可以创建出高效、安全的Web应用。《精通PHP+MySQL应用开发.pdf》将是你在这条道路上的重要伙伴。
总结来说,本示例通过结合PHP脚本和HTML表单,展示了如何连接到MySQL数据库,并通过“LIKE”关键字实现员工信息的模糊查询功能。同时,示例中也涉及到数据库连接的基本设置,数据的接收与处理,以及如何在Web页面上...
总结来说,Kettle提供了一个直观的界面,允许用户通过图形化方式设计和执行ETL流程。其丰富的组件库涵盖了数据提取、清洗、转换和加载的各个方面,是大数据处理中的强大工具。通过本次实验,你将能熟练地安装和运用...
- **函数列表:** 提供了一系列用于预处理语句的函数,如 `mysql_stmt_prepare()` 和 `mysql_stmt_execute()`。 **2.6 CAPI 预处理语句函数描述** - **函数详解:** 对每个预处理语句相关的函数进行了详细解释。 ...