pdo访问mysql数据库（pdo mysql）

本文目录一览：

• 1、使用pdo连接mysql数据库
• 2、php连接mysql数据库原理是怎样的
• 3、PHP怎么连接MySQL
• 4、如何使用PDO查询Mysql来避免SQL注入风险

使用pdo连接mysql数据库

看看是否支持pdo，因为默认的错误如果不显示的话，就靠返回错误只能得到这个，pdo还是需要pdo_mysql来支持的。

php连接mysql数据库原理是怎样的

现在使用PDO链接数据库的较多

连接是通过创建 PDO 基类的实例而建立的。不管使用哪种驱动程序，都是用 PDO 类名。构造函数接收用于指定数据库源（所谓的 DSN）以及可能还包括用户名和密码（如果有的话）的参数。

连接到 MySQL

?php

$dbh = new PDO(‘mysql:host=localhost;dbname=test’, $user, $pass);

?

如果有任何连接错误，将抛出一个 PDOException 异常对象。如果想处理错误状态，可以捕获异常，或者选择留给通过 set_exception_handler() 设置的应用程序全局异常处理程序。

处理连接错误

?php

try {

    $dbh = new PDO(‘mysql:host=localhost;dbname=test’, $user, $pass);

    foreach($dbh-query(‘SELECT * from FOO’) as $row) {

        print_r($row);

    }

    $dbh = null;

} catch (PDOException $e) {

    print “Error!: ” . $e-getMessage() . “br/”;

    die();

}

?

如果应用程序不在 PDO 构造函数中捕获异常，zend 引擎采取的默认动作是结束脚本并显示一个回溯跟踪，此回溯跟踪可能泄漏完整的数据库连接细节，包括用户名和密码。因此有责任去显式（通过 catch 语句）或隐式（通过 set_exception_handler() ）地捕获异常。

连接数据成功后，返回一个 PDO 类的实例给脚本，此连接在 PDO 对象的生存周期中保持活动。要想关闭连接，需要销毁对象以确保所有剩余到它的引用都被删除，可以赋一个 NULL 值给对象变量。如果不明确地这么做，PHP 在脚本结束时会自动关闭连接。

关闭一个连接

?php

$dbh = new PDO(‘mysql:host=localhost;dbname=test’, $user, $pass);

// 在此使用连接

// 现在运行完成，在此关闭连接

$dbh = null;

?

很多 web 应用程序通过使用到数据库服务的持久连接获得好处。持久连接在脚本结束后不会被关闭，且被缓存，当另一个使用相同凭证的脚本连接请求时被重用。持久连接缓存可以避免每次脚本需要与数据库回话时建立一个新连接的开销，从而让 web 应用程序更快。

PHP怎么连接MySQL

PHP连接mysql数据库是PHP新手们必须要掌握的一项技能，只要掌握了PHP对数据库进行增删改查等操作，就可以写出一些简单且常见的程序。如留言表，新闻页等。本篇文章主要给大家详细介绍PHP连接Mysql数据库的两种常用方法。

下面我们通过具体的代码示例来给大家详细介绍两种PHP连接mysql数据库的方法。

mysqli连接数据库和pdo连接数据库。

第一种方法：使用mysqli连接mysql数据库

代码实例如下：

?php

$host=’127.0.0.1′;

$user=’root’;

$password=’root’;

$dbName=’php’;

$link=new mysqli（$host,$user,$password,$dbName）；

if （$link-connect_error）{

die（”连接失败：”.$link-connect_error）；

}

$sql=”select * from admins”;

$res=$link-query（$sql）；

$data=$res-fetch_all（）；

var_dump（$data）；

在经过一系列的连接操作后，我们再创建一个sql语句对其中数据表进行查询检验。在上述代码中，我们要先创建一些需要用到的变量，如数据库用户名、数据库名密码等。然后我们用面向对象的方式连接了名为php的数据库。再通过if条件语句，connect-error方法判断PHP连接数据库是否成功。

这里我们先登录phpmyadmin看看是否存在php数据库，从下图可以知道是存在php这个数据库的。

最后通过浏览器访问，结果如下图：

从图中可以得知，我们成功地连接了php数据库，并且能查询出数据表信息。

第二种方法：使用PDO连接数据库

代码示例如下：

?php

$host=’127.0.0.1′;

$user=’root’;

$password=’root’;

$dbName=’php’;

$pdo=new PDO（”mysql:host=$host;dbname=$dbName”,$user,$password）；

$sql=”select * from admins”;

$data=$pdo-query（$sql）-fetch（）；

var_dump（$data）；

PHP连接Mysql步骤以上就是关于PHP连接数据库查询数据的两种常用方法详解，更多相关教程请访问php中文网mysql视频教程，欢迎参考学习

如何使用PDO查询Mysql来避免SQL注入风险

我把问题和赞同最多的答题翻译了下来。提问：如果用户的输入能直接插入到SQL语句中，那么这个应用就易收到SQL注入的攻击，举个例子：$unsafe_variable = $_POST[‘user_input’]; mysqli_query(“INSERT INTO table (column) VALUES (‘” . $unsafe_variable . “‘)”);用户可以输入诸如 ： value’); DROP TABLE table;– ,SQL语句就变成这样了:INSERT INTO table (column) VALUES(‘value’); DROP TABLE table;–‘)(译者注：这样做的结果就是把table表给删掉了) 我们可以做什么去阻止这种情况呢？回答：使用prepared statements（预处理语句）和参数化的查询。这些SQL语句被发送到数据库服务器，它的参数全都会被单独解析。使用这种方式，攻击者想注入恶意的SQL是不可能的。要实现这个主要有两种方式：1. 使用 PDO：$stmt = $pdo-prepare(‘SELECT * FROM employees WHERE name = :name’); $stmt-execute(array(‘:name’ = $name)); foreach ($stmt as $row) { // do something with $row }2. 使用 Mysqli：$stmt = $dbConnection-prepare(‘SELECT * FROM employees WHERE name = ?’); $stmt-bind_param(‘s’, $name); $stmt-execute(); $result = $stmt-get_result(); while ($row = $result-fetch_assoc()) { // do something with $row }PDO需要注意的是使用PDO去访问MySQL数据库时，真正的prepared statements默认情况下是不使用的。为了解决这个问题，你需要禁用模拟的prepared statements。下面是使用PDO创建一个连接的例子：$dbConnection = new PDO(‘mysql:dbname=dbtest;host=127.0.0.1;charset=utf8’, ‘user’, ‘pass’); $dbConnection-setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection-setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);上面的例子中，错误报告模式并不是强制和必须的，但建议你还是添加它。通过这种方式，脚本在出问题的时候不会被一个致命错误终止，而是抛出PDO Exceptions，这就给了开发者机会去捕获这个错误。然而第一行的 setAttribute() 是强制性的，它使得PDO禁用模拟的prepared statements并使用真正的prepared statements。这可以确保这些语句和值在被发送到MySQL服务器之前不会被PHP解析（这使得攻击者没有注入恶意SQL的机会）。尽管你可以使用可选的构造函数参数去设置 charset ，但重点需要注意的是小于5.3.6的PHP版本，DSN(Data Source Name)是默认忽略 charset 参数的。说明当你传一个SQL语句做预处理时会发生什么？它被数据库服务器解析和编译了。通过指定参数（通过之前例子中的 ? 或者像 :name 这样的命名式参数）你告诉数据库引擎你是想过滤它。接着当你调用 execute() 函数时，prepared statements会和你刚才指定的参数的值结合。在此重要的是，参数的值是和编译过的语句结合，而非一个SQL字符串。SQL注入就是当创建被发送到数据库的SQL语句时，通过欺骗的手段让脚本去引入恶意的字符串。因此当你使用单独的参数发送真实正确的SQL时，你就限制了被某些不是你真实意图的事情而搞挂掉的风险。使用prepared statements 传递的任何参数都会被当做字符串对待（不过数据库引擎可能会做一些优化，这些参数最终也可能变成numbers）（译者注：意思就是把参数当做一个字符串而不会去做额外的行为）。比如在上面的例子中，如果 $name 变量的值是 ‘Sarah’; DELETE * FROM employees ，产生的结果是会去搜索”‘Sarah’; DELETE * FROM employees”这一整个字符串，最终的结果你也就不会面对的是一张空表了。使用prepared statements的另一个好处是，如果你在同一session中再次执行相同的语句，也就不会被再次解析和编译，这样你就获得一些速度上的提升。