當(dāng)用PHP訪問數(shù)據(jù)庫時(shí),除了PHP自帶的數(shù)據(jù)庫驅(qū)動(dòng),我們一般還有兩種比較好的選擇:PDO和MySQLi。
在實(shí)際開發(fā)過程中要決定選擇哪一種首先要對二者有一個(gè)比較全面的了解。
本文就針對他們的不同點(diǎn)進(jìn)行分析,并對多數(shù)據(jù)庫類型支持、穩(wěn)定性、性能等等方面進(jìn)行對比。
一、連接
// PDO
$pdo = new PDO("mysql:host=localhost;dbname=database", 'username', 'password');
// mysqli, procedural way
$mysqli = mysqli_connect('localhost','username','password','database');
// mysqli, object oriented way
$mysqli = new mysqli('localhost','username','password','database');
二、API 支持
PDO和MySQLi都是通過面向?qū)ο?/a>的形式提供API,但是同時(shí)MySQLi也提供了面向過程的API,這種形式對于新手來說更容易理解。
如果你對原生的php mysql 驅(qū)動(dòng)熟悉,你會(huì)發(fā)現(xiàn)很輕松得就能使用MySQLi的接口來替換原來的數(shù)據(jù)訪問。
用PDO的好處是,PDO支持多種數(shù)據(jù)庫,而MySQLi只支持MySQL,一但你掌握了就你可以隨心所欲的使用連接多種數(shù)據(jù)庫。
三、數(shù)據(jù)庫的支持
PDO比MySQLi最大的優(yōu)點(diǎn)就是PDO支持很多種數(shù)據(jù)庫,而MySQLi只支持MySQLi。要看PDO支持哪些數(shù)據(jù)庫用下面的代碼:
var_dump(PDO::getAvailableDrivers());
支持多數(shù)據(jù)庫有什么好處呢?當(dāng)你的程序以后想從mysql換成sql server或者oracle時(shí),PDO的優(yōu)勢就能體現(xiàn)出來了,
因?yàn)閾Q數(shù)據(jù)庫對于程序接口是透明的,php代碼改動(dòng)很小,如果你是用MySQLi,那么所有用到數(shù)據(jù)庫的地方都要重寫,這樣的改動(dòng)我也只能呵呵了。
四、命名參數(shù)支持
PDO命名參數(shù)及參數(shù)綁定:
$params = array(':username' => 'test', ':email' => $mail, ':last_login' => time() - 3600);
$pdo->prepare('
SELECT * FROM users
WHERE username = :username
AND email = :email
AND last_login > :last_login');
$pdo->execute($params);
而MySQLi的參數(shù)綁定:
$query = $mysqli->prepare('
SELECT * FROM users
WHERE username = ?
AND email = ?
AND last_login > ?');
$query->bind_param('sss', 'test', $mail, time() - 3600);
$query->execute();
我們從上面對比就可以看出PDO是通過命名參數(shù)進(jìn)行值的綁定,而MySQLi的參數(shù)綁定是通過點(diǎn)位符“?”并嚴(yán)格按這個(gè)問號的順序來綁定值。
這樣雖然代碼顯得沒有PDO那種通過名字對應(yīng)那么長,但是有一個(gè)不好的地方是可讀性和可維護(hù)性都降低了,參數(shù)個(gè)數(shù)比較少的時(shí)候還不覺得,
當(dāng)參數(shù)上了10多個(gè)或者更多的情況就比較痛苦了,你必須要按問號的順序來一個(gè)一個(gè)對應(yīng)來賦值,萬一其中一個(gè)位錯(cuò)了,后面的都跟著錯(cuò)了。
不幸的是MySQLi不支持PDO那樣的命名參數(shù)綁定。
五、對象映射(Object Mapping)
基于數(shù)據(jù)庫的開發(fā)一般都是從數(shù)據(jù)庫中讀取數(shù)據(jù)然后把這些數(shù)據(jù)用一個(gè)對象來承載。
PDO和MySQLi都支持對象映射,假設(shè)有一個(gè)User類,它有一些屬性對應(yīng)到數(shù)據(jù)庫。
class User {
public $id;
public $first_name;
public $last_name;
public function info()
{
return '#'.$this->id.': '.$this->first_name.' '.$this->last_name;
}
}
如果沒有對象映射,我們要讀取數(shù)據(jù)之后,一個(gè)一個(gè)字段的賦值,這是很繁瑣的。
下面請看二者使用對象的代碼:
$query = "SELECT id, first_name, last_name FROM users";
// PDO
$result = $pdo->query($query);
$result->setFetchMode(PDO::FETCH_CLASS, 'User');
while ($user = $result->fetch()) {
echo $user->info()."\n";
}
// MySQLI, procedural way
if ($result = mysqli_query($mysqli, $query)) {
while ($user = mysqli_fetch_object($result, 'User')) {
echo $user->info()."\n";
}
}
// MySQLi, object oriented way
if ($result = $mysqli->query($query)) {
while ($user = $result->fetch_object('User')) {
echo $user->info()."\n";
}
}
六、安全性
二者都可以防止sql注入。我們先看一個(gè)例子。
$_GET['username'] = "'; DELETE FROM users; /*"
當(dāng)用戶輸入的username參數(shù)的值為上面的值("'; DELETE FROM users; /*"),如果你沒有對這個(gè)值做任何處理,用戶就成功將delete語句注入,那么user表的記錄就會(huì)被全部刪除。
6.1、手動(dòng)轉(zhuǎn)義
// PDO, "manual" escaping
$username = PDO::quote($_GET['username']);
$pdo->query("SELECT * FROM users WHERE username = $username");
// mysqli, "manual" escaping
$username = mysqli_real_escape_string($_GET['username']);
$mysqli->query("SELECT * FROM users WHERE username = '$username'");
上面采用了PDO和MySQLi的API自帶的函數(shù)對獲取到的參數(shù)的值進(jìn)行了轉(zhuǎn)義。
6.2、prepared statement參數(shù)綁定
下面推薦更加高效安全的prepared statement參數(shù)綁定的方式:
// PDO, prepared statement
$pdo->prepare('SELECT * FROM users WHERE username = :username');
$pdo->execute(array(':username' => $_GET['username']));
// mysqli, prepared statements
$query = $mysqli->prepare('SELECT * FROM users WHERE username = ?');
$query->bind_param('s', $_GET['username']);
$query->execute();
七、性能
由于PDO能夠支持其它非MySQL的數(shù)據(jù)庫,而MySQLi專門針對MySQL設(shè)計(jì)的,所以MySQLi相對于PDO性能稍微好一些。
但是PDO和MySQLi都還是沒有PHP原生的MySQL擴(kuò)展快。但是這樣性能比較其實(shí)意義不太大,因?yàn)樗鼈兌际窍喈?dāng)快了,
如果你的程序性能要求不是特別苛刻話,三者都可以滿足你。至于你要選擇哪一種就要你根據(jù)的實(shí)踐情況進(jìn)行權(quán)衡。
八、總結(jié)
PDO支持12種數(shù)據(jù)庫驅(qū)動(dòng)和命名參數(shù)綁定是其最大優(yōu)點(diǎn),通過上面的對比,
我相信你也知道了你在自己的項(xiàng)目中會(huì)使用哪一種連接數(shù)據(jù)庫了?
九、數(shù)據(jù)庫備份
<?php
// 備份數(shù)據(jù)庫
$host = "localhost";
$user = "root"; //數(shù)據(jù)庫賬號
$password = "root"; //數(shù)據(jù)庫密碼
$dbname = "compa"; //數(shù)據(jù)庫名稱
header("Content-type:text/html;charset=utf-8");
// 這里的賬號、密碼、名稱都是從頁面?zhèn)鬟^來的
if (!mysql_connect($host, $user, $password)) // 連接mysql數(shù)據(jù)庫
{
echo '數(shù)據(jù)庫連接失敗,請核對后再試';
exit;
}
if (!mysql_select_db($dbname)) // 是否存在該數(shù)據(jù)庫
{
echo '不存在數(shù)據(jù)庫:' . $dbname . ',請核對后再試';
exit;
}
mysql_query("set names 'utf8'");
$mysql = "set charset utf8;\r\n";
$q1 = mysql_query("show tables");
while ($t = mysql_fetch_array($q1))
{
$table = $t[0];
$q2 = mysql_query("show create table `$table`");
$sql = mysql_fetch_array($q2);
$mysql .= $sql['Create Table'] . ";\r\n";
$q3 = mysql_query("select * from `$table`");
while ($data = mysql_fetch_assoc($q3))
{
$keys = array_keys($data);
$keys = array_map('addslashes', $keys);
$keys = join('`,`', $keys);
$keys = "`" . $keys . "`";
$vals = array_values($data);
$vals = array_map('addslashes', $vals);
$vals = join("','", $vals);
$vals = "'" . $vals . "'";
$mysql .= "insert into `$table`($keys) values($vals);\r\n";
}
}
$filename = $dbname . date('Ymjgi') . ".sql"; //存放路徑,默認(rèn)存放到項(xiàng)目最外層
$fp = fopen($filename, 'w');
fputs($fp, $mysql);
fclose($fp);
echo "數(shù)據(jù)備份成功";
