`
zccst
  • 浏览: 3336448 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Yii框架操作数据库的几种方式与mysql_escape_string

 
阅读更多
作者:zccst

一、Yii操作数据库的几种选择

1,PDO方式。
$sql = "";//原生态sql语句
xx::model()->dbConnection->createCommand($sql)->execute();


2,Active Record方式
(1)New
$post=new Post;
$post->title='sample post';
$post->content='post body content';
$post->save();


(2)Criteria方式
也可以使用 $condition 指定更复杂的查询条件。 不使用字符串,我们可以让 $condition 成为一个 CDbCriteria 的实例,它允许我们指

定不限于 WHERE 的条件。

$criteria=new CDbCriteria;
$criteria->select='title';  // 只选择 'title' 列
$criteria->condition='postID=:postID';
$criteria->params=array(':postID'=>10);
$post=Post::model()->find($criteria);

一种替代 CDbCriteria 的方法是给 find 方法传递一个数组。 数组的键和值各自对应标准(criterion)的属性名和值,上面的例子可以重

写为如下:

$post=Post::model()->find(array(
    'select'=>'title',
    'condition'=>'postID=:postID',
    'params'=>array(':postID'=>10),
));

当一个查询条件是关于按指定的值匹配几个列时,我们可以使用 findByAttributes()。我们使 $attributes 参数是一个以列名做索引的值

的数组。在一些框架中,此任务可以通过调用类似 findByNameAndTitle 的方法实现。虽然此方法看起来很诱人, 但它常常引起混淆,冲突

和比如列名大小写敏感的问题。



3,Query Builder 方式
$user = Yii::app()->db->createCommand()
    ->select('id, username, profile')
    ->from('tbl_user u')
    ->join('tbl_profile p', 'u.id=p.user_id')
    ->where('id=:id', array(':id'=>$id))
    ->queryRow();



二、Yii操作数据库的几种选择与mysql_escape_string方法
mysql_escape_string是转义sql中的特殊字符。
1,创建记录时
当直接执行sql时,需要加mysql_escape_string方法。
当使用yii框架式,不需要加(因为Yii已经添加验证)。

2,查询记录时
当直接执行sql时,需要加mysql_escape_string方法。
当使用yii框架式,如果在find中直接拼接sql,则也需要添加,如果使用param数组方式,不需要加(因为Yii已经添加验证)。

分享到:
评论

相关推荐

    php网络编程资料

    PHP与MySQL数据库配合默契,可以使用`mysqli`或`PDO`扩展进行连接、查询、插入、更新和删除操作。例如,使用`mysqli_connect()`建立连接,`mysqli_query()`执行SQL,`mysqli_fetch_assoc()`获取结果集。 错误处理和...

    PHP2016-03-24参考手册

    PHP在处理用户输入时应特别注意安全问题,如使用`htmlspecialchars()`防止XSS(跨站脚本攻击),`mysql_real_escape_string()`或预处理语句防止SQL注入。另外,应合理设置session和cookie,避免会话劫持。 十、性能...

    基于PHP的OneHeart PHP.zip

    11. **安全性**:PHP提供了防止SQL注入、XSS攻击的函数,如`htmlspecialchars()`对用户输入进行转义,`mysqli_real_escape_string()`过滤SQL语句中的特殊字符。 12. **部署和性能优化**:通过配置PHP.ini文件,可以...

    PHP新手上路中文教程(推荐)

    1. **MySQLi**:MySQL Improved Extension,适用于较旧的MySQL数据库,提供面向对象和面向过程两种接口。 2. **PDO (PHP Data Objects)**:为多种数据库提供统一的接口,支持预处理语句,提高安全性。 3. **SQL...

    任务

    - 输入验证:使用 `htmlspecialchars()` 防止XSS攻击,`mysqli_real_escape_string()` 或 PDO预处理防止SQL注入。 - 密码安全:使用 `password_hash()` 和 `password_verify()` 处理用户密码。 - 文件上传安全:验证...

    php_core:php核心包

    6. **数据库交互**:PHP常用于与各种数据库(如MySQL、PostgreSQL)交互,提供了PDO(PHP Data Objects)和mysqli扩展,支持预编译语句和事务处理。 7. **错误和异常处理**:PHP通过error_reporting函数设置错误...

    Akshaypalekar

    这些扩展支持对MySQL、PostgreSQL、SQLite等多种数据库进行操作。 9. **面向对象编程**: PHP 5引入了完整的面向对象编程支持,包括类、对象、继承、封装和多态。`class`关键字定义类,`new`关键字实例化对象。 ...

    ff

    预定义的函数如`htmlspecialchars`和`mysqli_real_escape_string`可用于过滤和转义不安全的数据。 9. **PHP的错误和异常处理**:PHP支持传统的错误处理(通过`error_reporting`和`set_error_handler`),也引入了...

Global site tag (gtag.js) - Google Analytics