php PDO运行查询的方法
PHP中使用PDO查询主要依赖query()和prepare()配合execute()。1. query()适用于无参数的简单查询,直接返回结果集;2. prepare()与execute()结合用于带用户输入的场景,通过占位符防止SQL注入;3. 使用fetch()、fetchAll()、fetchColumn()等方法获取数据。涉及变量时应优先使用预处理语句以确保安全。
PHP中使用PDO运行查询主要依赖于PDO和PDOStatement对象提供的方法。最常用的方式是使用query()和prepare()配合execute()来执行SQL查询,具体选择取决于是否涉及用户输入。
1. 使用 query() 方法(适合简单、无参数的查询)
当SQL语句不包含外部输入时,可以直接使用query()方法执行查询,并返回一个可遍历的结果集。
try {
$pdo = new PDO("mysql:host=localhost;dbname=testdb", "username", "password");
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$result = $pdo->query("SELECT id, name FROM users");
foreach ($result as $row) {
echo $row['id'] . " - " . $row['name'] . "
";
}} catch (PDOException $e) {
echo "查询失败: " . $e->getMessage();
}
注意:该方法不适合带有动态参数的查询,容易引发SQL注入风险。
2. 使用 prepare() 和 execute()(推荐用于带参数的查询)
对于包含用户输入的查询,应使用预处理语句(Prepared Statements),通过占位符绑定参数,提高安全性。
try {
$pdo = new PDO("mysql:host=localhost;dbname=testdb", "username", "password");
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$stmt = $pdo->prepare("SE
LECT id, name FROM users WHERE age > ?");
$stmt->execute([25]);
while ($row = $stmt->fetch()) {
echo $row['id'] . " - " . $row['name'] . "
";
}} catch (PDOException $e) {
echo "查询失败: " . $e->getMessage();
}
LECT id, name FROM users WHERE age > ?");
$stmt->execute([25]);
while ($row = $stmt->fetch()) {
echo $row['id'] . " - " . $row['name'] . "也可以使用命名占位符:
$stmt = $pdo->prepare("SELECT id, name FROM users WHERE name LIKE :keyword");
$stmt->execute([':keyword' => '%john%']);
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
print_r($row);
}
3. 获取查询结果的不同方式
PDOStatement提供了多种获取数据的方法,根据需要选择:
- fetch():获取单行数据
- fetchAll():获取所有结果行
- fetchColumn():获取单个值(如统计数量)
// 获取总记录数
$count = $pdo->prepare("SELECT COUNT(*) FROM users");
$count->execute();
echo "用户总数: " . $count->fetchColumn();
// 获取所有数据
$users = $stmt->fetchAll(PDO::FETCH_ASSOC);
foreach ($users as $user) {
echo $user['name'] . "
";
}
基本上就这些。日常开发中优先使用预处理语句,安全又灵活。简单查询可用query(),但一旦涉及变量,立刻切换到prepare + execute模式。
