我一直在阅读关于在php中使用mysqli和pdo来使用mysql的问题。
我看到了一些问题,比如mysqli或PDO-优缺点是什么?或从mysql转移到mysqli或pdo?,它们都专门涉及mysqli v pdo。我对这两种方法哪种更好不是很感兴趣。
我在想为什么要避免使用mysql_函数。当然,根据PHP文档http://php.net/manual/en/faq.databases.php#faq.databases.mysql.deprecated的说法,它们正在被弃用,线程PHP PDO and MySQLi建议使用PDO和MySQLi,线程What is the difference between MySQL, MySQLi and PDO?表明这些新方法更安全、更强大。mysql_query函数的设计要求您小心地转义每个注入其中的数据,如果您遗漏了任何一个细节,整个应用程序就会被自动 SQL 漏洞利用工具摧毁。
mysqli和 PDO 都支持占位符,这是为了确保查询不受 SQL 注入漏洞的影响而必需的。在每个数据上调用 mysql_real_escape_string 不仅繁琐,而且容易出错,这就是问题所在。
mysql 函数是 PHP 早期阶段的产物,与新的面向对象特性相比显然更加有限,而使用 mysqli 或 PDO 提供了更好的选择。
有很多非常好的理由使用这两个新接口中的任意一个,但最重要的原因是,mysql_query 函数在生产代码中使用太危险了。它让您离很严重的问题只有一步之遥。
数据库密码和信用卡号码的泄露事件层出不穷,其中一个显而易见的 SQL 注入点几乎让黑客轻易掌握网站控制权。
从选择PHP.net的MySQL API开始:
// mysqli
$mysqli = new mysqli("example.com", "user", "password", "database");
$result = $mysqli->query("SELECT 'Hello, dear MySQL user!' AS _message FROM DUAL");
$row = $result->fetch_assoc();
echo htmlentities($row['_message']);
// PDO
$pdo = new PDO('mysql:host=example.com;dbname=database', 'user', 'password');
$statement = $pdo->query("SELECT 'Hello, dear MySQL user!' AS _message FROM DUAL");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['_message']);
// mysql
$c = mysql_connect("example.com", "user", "password");
mysql_select_db("database");
$result = mysql_query("SELECT 'Hello, dear MySQL user!' AS _message FROM DUAL");
$row = mysql_fetch_assoc($result);
echo htmlentities($row['_message']);
创建一个对象,像mysqli和PDO一样,是编写任何现代软件的推荐方式。mysql库是针对PHP 2.0版本发布的,自那以后没有进行过重大改写。PHP 2.0于1997年发布,这就足以解释为什么不应该使用它。
首先,如果您没有正确地手动清理输入,mysql函数极易受到SQL注入攻击。mysqli和pdo具有参数化sql语句选项,避免了这种风险。在我看来,它们通常具有更好的编码风格。