PHP教學-MySQL、MySQLi、PDO差異

PHP-MySQL 是 PHP 操作 MySQL 資料庫最原始的 Extension ,PHP-MySQLi 的 i 代表 Improvement ,提更了相對進階的功能,就 Extension 而言,本身也增加了安全性。而 PDO (PHP Data Object) 則是提供了一個 Abstraction Layer 來操作資料庫,用講的其實看不出來有有什麼差別,所以就直接看程式吧…

首先,先來看一段用 PHP-MySQL 寫成的程式碼,這類的範例常用在世界各地:

<?php

    mysql_connect($db_host, $db_user, $db_password);
    mysql_select_db($dn_name);

    $result = mysql_query("SELECT `name` FROM `users` WHERE `location` = '$location'");

    while ($row = mysql_fetch_array($result,  MYSQL_ASSOC)) {
        echo $row['name'];
    }

    mysql_free_result($result);

?>   

<?php

    mysql_connect($db_host, $db_user, $db_password);
    mysql_select_db($dn_name);

    $result = mysql_query("SELECT `name` FROM `users` WHERE `location` = '$location'");

    while ($row = mysql_fetch_array($result,  MYSQL_ASSOC)) {
        echo $row['name'];
    }

    mysql_free_result($result);

?>


乍看之下沒什麼問題,但其實背後有些學問…

這種方式不能 Bind Column ,以前例的 SQL 敘述來說,$location 的地方容易被 SQL Injection。後來於是發展出了 mysql_escape_string() (備註:5.3.0之後棄用) 以及 mysql_real_escape_string() 來解決這個問題,不過這麼一搞,整個敘述會變得複雜且醜陋,而且如果欄位多了,可以想見會是怎樣的情形…

PHP

<?php

    $query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));

    mysql_query($query);

?>

<?php

    $query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));

    mysql_query($query);

?>


在 PHP-MySQLi 中有了不少進步,除了透過 Bind Column 來解決上述問題,而且也多援 Transaction, Multi Query ,並且同時提供了 Object oriented style (下面這段 PHP-MySQLi 範例的寫法) 和 Procedural style (上面 PHP-MySQL 範例的寫法)兩種寫法…等等。

<?php

    $mysqli = new mysqli($db_host, $db_user, $db_password, $db_name);

    $sql = "INSERT INTO `users` (id, name, gender, location) VALUES (?, ?, ?, ?)";
    $stmt = $mysqli->prepare($sql);

    $stmt->bind_param('dsss', $source_id, $source_name, $source_gender, $source_location);

    $stmt->execute();

    $stmt->bind_result($id, $name, $gender, $location);

    while ($stmt->fetch()) {
        echo $id . $name . $gender . $location;
    }

    $stmt->close();
    $mysqli->close();

?>   

<?php

    $mysqli = new mysqli($db_host, $db_user, $db_password, $db_name);

    $sql = "INSERT INTO `users` (id, name, gender, location) VALUES (?, ?, ?, ?)";
    $stmt = $mysqli->prepare($sql);

    $stmt->bind_param('dsss', $source_id, $source_name, $source_gender, $source_location);

    $stmt->execute();

    $stmt->bind_result($id, $name, $gender, $location);

    while ($stmt->fetch()) {
        echo $id . $name . $gender . $location;
    }

    $stmt->close();
    $mysqli->close();

?>


但看到這邊又發現了一些缺點,例如得 Bind Result,這個就有點多餘,不過這其實無關緊要,因為最大的問題還是在於這不是一個抽象(Abstraction)的方法,所以當後端更換資料庫的時候,就是痛苦的開始…

於是 PDO 就出現了,將 PDO 安裝裝好後,就可以透過以下方式來操作資料庫:

<?php

    $dsn = "mysql:host=$db_host;dbname=$db_name";
    $dbh = new PDO($dsn, $db_user, $db_password);

    $sql = "SELECT `name`, `location` FROM `users` WHERE `location` = ? , `name` = ?";
    $sth = $dbh->prepare($sql);

    $sth->execute(array($location, $name));

    $result = $sth->fetch(PDO::FETCH_OBJ);
    echo $result->name . $result->location;

    $dbh = NULL;

?>   

<?php

    $dsn = "mysql:host=$db_host;dbname=$db_name";
    $dbh = new PDO($dsn, $db_user, $db_password);

    $sql = "SELECT `name`, `location` FROM `users` WHERE `location` = ? , `name` = ?";
    $sth = $dbh->prepare($sql);

    $sth->execute(array($location, $name));

    $result = $sth->fetch(PDO::FETCH_OBJ);
    echo $result->name . $result->location;

    $dbh = NULL;

?>


乍看之下,PDO 的程式碼好像也沒有比較短,那到底好處是什麼呢?

1. PDO 連接資料庫時透過 Connection String 來決定連接何種資料庫。
2. PDO 可以透過 PDO::setAttribute 來決定連線時的設定,像是 Persistent Connection, 回傳錯誤的方式(Exception, E_WARNING, NULL)。甚至是回傳欄位名稱的大小寫…等等。
2. PDO 支援 Bind Column 的功能,除了基本的 Prepare, Execute 以外,也可以 Bind 單一欄位,並且指定欄位型態。
4. PDO 是 Abstraction Layer 所以就算更換儲存媒介,需要花的功夫比起來是最少的。

可惜的是,儘管這些東西都已經出現很久了,但還是不夠大眾化。我想或許是肇因於大家習慣看坊間的書籍學習,但那些書本往往只會介紹最簡單最傳統的方式。導致很多人還是在用 MySQL 這種方直接連資料庫。

不過,目前來說我個人還是最喜愛透過 DBI 來連接資料庫,像是 ActiveRecord 以及 Propel ORM(Object-Relational Mapping)。

例如說以 ActiveRecord 為例,如果要實現這樣的 SQL 敘述…

INSERT INTO `users` (id, name, gender, location) VALUES(1, 'roga', 'male', 'tpe')

以 PDO 來寫是:


<?php

    $sql = "INSERT INTO `users` (id, name, gender, location) VALUES(?, ?, ?, ?)";
    $sth = $dbh->prepare($sql);

    $sth->execute(array(1, 'roga', 'male', 'tpe'));

?>
   

<?php

    $sql = "INSERT INTO `users` (id, name, gender, location) VALUES(?, ?, ?, ?)";
    $sth = $dbh->prepare($sql);

    $sth->execute(array(1, 'roga', 'male', 'tpe'));

?>


但以 ActiveRecord 來說的話,則是:


<?php

    $user = new User();

    $user->id = 1;
    $user->name = 'roga';
    $user->gender = 'male';
    $user->location = 'tpe';

    $user->save();

?>

<?php

    $user = new User();

    $user->id = 1;
    $user->name = 'roga';
    $user->gender = 'male';
    $user->location = 'tpe';

    $user->save();

?>
 

留言

  1. 為了找 mysql 更新的程式碼找到這邊,滿有幫助的..

    對此「大家習慣看坊間的書籍學習,但那些書本往往只會介紹最簡單最傳統的方式。」頗有深感XD

    回覆刪除
  2. 這篇文章和2010這位博主發表的內容幾乎一樣

    http://blog.roga.tw/2010/06/2403

    回覆刪除
  3. 抓到了....偷文章

    誰偷誰呢?

    回覆刪除

張貼留言

這個網誌中的熱門文章

c語言-關於#define用法

CMD常用網管指令

使用windows CMD 時間自動校正