为什么不应该使用mysql_*函数的技术原因是什么?(例如mysql_query()、mysql_connect()或mysql_real_ascape_string())?
为什么我要使用其他东西,即使它们在我的网站上工作?
如果它们在我的网站上不起作用,为什么我会出现这样的错误
警告:mysql_connect():没有这样的文件或目录
为什么不应该使用mysql_*函数的技术原因是什么?(例如mysql_query()、mysql_connect()或mysql_real_ascape_string())?
为什么我要使用其他东西,即使它们在我的网站上工作?
如果它们在我的网站上不起作用,为什么我会出现这样的错误
警告:mysql_connect():没有这样的文件或目录
当前回答
易于使用
分析和综合原因已经提到。对于新手来说,停止使用过时的mysql_函数是一个更重要的激励因素。
现代数据库API更易于使用。
主要是绑定参数可以简化代码。而且有了优秀的教程(如上所述),向PDO的过渡并不太困难。
然而,一次重写更大的代码库需要时间。Raison d‘être表示此中间选项:
替代mysql的等效pdo_*函数_*
使用<pdo_mysql.php>,您可以毫不费力地切换旧的mysql_函数。它添加了pdo_函数包装器,取代了mysql_对应的包装器。
只需包含一次(“pdo_mysql.php”);在必须与数据库交互的每个调用脚本中。删除所有地方的mysql_函数前缀,并将其替换为pdo。mysql_connect()变为pdo_connect()mysql_query()变为pdo_query()mysql_num_rows()变为pdo_num_rowsmysql_insert_id()变为pdo_insert_id()mysql_fetch_array()变为pdo_fetch_arraymysql_fetch_assoc()变为pdo_fetch_assocmysql_real_ascape_string()变为pdo_real_escape_string()等等您的代码工作方式相同,但大部分看起来仍然相同:includeonce(“pdo_mysql.php”);pdo_connect(“localhost”、“usrABC”、“pw1234567”);pdo_select_db(“测试”);$result=pdo_query(“SELECT title,html FROM pages”);而($row=pdo_fetch_assoc($result)){打印“$row[title]-$row[html]”;}
等等。您的代码正在使用PDO。现在是时候真正利用它了。
绑定参数很容易使用
你只需要一个不那么笨重的API。
pdo_query()为绑定参数添加了非常简单的支持。转换旧代码很简单:
将变量移出SQL字符串。
将它们作为逗号分隔的函数参数添加到pdo_query()中。打问号?作为变量之前的占位符。去掉之前包含字符串值/变量的“单引号”。
对于较长的代码,优势变得更加明显。
字符串变量通常不只是插入到SQL中,而是与其间的转义调用连接在一起。
pdo_query("SELECT id, links, html, title, user, date FROM articles
WHERE title='" . pdo_real_escape_string($title) . "' OR id='".
pdo_real_escape_string($title) . "' AND user <> '" .
pdo_real_escape_string($root) . "' ORDER BY date")
具有应用了占位符,您不必担心:
pdo_query("SELECT id, links, html, title, user, date FROM articles
WHERE title=? OR id=? AND user<>? ORDER BY date", $title, $id, $root)
请记住,pdo_*仍然允许或。只是不要转义变量并将其绑定到同一个查询中。
占位符功能由其背后的真实PDO提供。因此也允许:稍后命名占位符列表。
更重要的是,您可以在任何查询后安全地传递$_REQUEST[]变量。当提交<form>字段与数据库结构完全匹配时,它甚至更短:
pdo_query("INSERT INTO pages VALUES (?,?,?,?,?)", $_POST);
太简单了。但是,让我们回到一些重写建议和技术原因,来解释为什么你可能想要摆脱mysql并逃离。
修复或删除任何旧的学校消毒()函数
将所有mysql_调用转换为带有绑定参数的pdo_query后,删除所有冗余的pdo_real_escape_string调用。
特别是,您应该修复任何消毒剂、清洁剂或过滤器This或clean_data函数,如过期教程以一种或另一种形式宣传的那样:
function sanitize($str) {
return trim(strip_tags(htmlentities(pdo_real_escape_string($str))));
}
这里最明显的缺陷是缺少文档。更重要的是,过滤的顺序完全错误。
正确的顺序应该是:不赞成将stripse作为最内部的调用,然后trim,然后stripse_tags,htmlentities作为输出上下文,最后是_escape_string,因为它的应用程序应该直接在SQL中间存储之前。但作为第一步,只需去掉_real_aescape_string调用。如果您的数据库和应用程序流需要HTML上下文安全字符串,您可能需要暂时保留cleaning()函数的其余部分。添加一个注释,它以后只应用HTML转义。字符串/值处理委托给PDO及其参数化语句。如果在您的消毒功能中提到stripslases(),则可能表明存在更高级别的监督。这通常是为了消除不推荐使用的magic_quotes的损坏(双转义)。然而,最好是集中固定,而不是逐串固定。使用一种用户区反转方法。然后删除消毒功能中的stripslasshes()。magic_quotes上的历史注释。该功能被正确地弃用。然而,它通常被错误地描述为失败的安全功能。但魔法语录是一个失败的安全功能,就像网球作为营养来源失败一样。这根本不是他们的目的。PHP2/FI中最初的实现明确地引入了它,只是“引号将自动转义,从而更容易将表单数据直接传递给msql查询”。值得注意的是,与mSQL一起使用是意外安全的,因为它只支持ASCII。然后PHP3/Zend为MySQL重新引入了magic_quotes,并对其进行了错误的记录。但最初它只是一个方便的功能,并不是为了安全。
准备的报表有何不同
当您在SQL查询中加入字符串变量时,您不仅需要更复杂的操作。MySQL再次分离代码和数据也是多余的工作。
SQL注入只是当数据泄漏到代码上下文中时。数据库服务器稍后无法发现PHP最初将变量粘在查询子句之间的位置。
使用绑定参数,可以在PHP代码中分离SQL代码和SQL上下文值。但它不会在幕后再次被搅乱(除了PDO::EMULATE_PREPARES)。您的数据库接收未变化的SQL命令和1:1的变量值。
虽然这个答案强调了您应该关注删除mysql_的可读性优势。由于这种可见的技术数据/代码分离,偶尔也会有性能优势(重复的INSERT值不同)。
请注意,参数绑定仍然不是针对所有SQL注入的一站式解决方案。它处理数据/值的最常见用法。但不能白名单列名/表标识符,帮助动态子句构造,或仅列出纯数组值列表。
混合PDO使用
这些pdo_*包装器函数构成了一个编码友好的间隙API。(如果不是特殊的函数签名转换,这几乎是MYSQLI所能做到的)。他们也在大多数时候暴露真实的PDO。重写不必停止使用新的pdo_函数名。您可以逐个将每个pdo_query()转换为普通的$pdo->prepare()->execute()调用。
然而,最好从简化开始。例如,常见的结果获取:
$result = pdo_query("SELECT * FROM tbl");
while ($row = pdo_fetch_assoc($result)) {
可以用foreach迭代替换:
foreach ($result as $row) {
或者更好的是直接和完整的阵列检索:
$result->fetchAll();
在大多数情况下,您将得到比PDO或mysql_通常在查询失败后提供的警告更有用的警告。
其他选项
因此,这很有希望看到一些实际的原因和一个值得放弃mysql_的途径。
仅仅切换到pdo并不能完全解决问题。pdo_query()也只是它的前端。
除非您还引入了参数绑定,或者可以利用更好的API中的其他东西,否则这是一个毫无意义的切换。我希望它被描绘得足够简单,不会加深对新人的失望。(教育通常比禁止更好。)
虽然它符合可能工作的最简单的东西,但它仍然是非常实验性的代码。我只是周末写的。然而,有太多的选择。只需搜索PHP数据库抽象并浏览一下。一直以来都有很多优秀的图书馆可以完成这样的任务。
如果您想进一步简化数据库交互,像Paris/Inidiorm这样的映射器值得一试。就像没有人在JavaScript中使用乏味的DOM一样,现在您不必照顾原始的数据库界面。
其他回答
不要使用mysql,因为不推荐使用Mysqli。
弃用的含义:
这意味着不要使用某些特定的功能/方法/软件功能/特定的软件实践,这只是意味着不应该使用它,因为该软件中有(或将有)更好的替代方案,而应该使用它。
使用不推荐使用的函数时可能会出现以下几个常见问题:
1.功能完全停止工作:应用程序或脚本可能依赖于不再支持的功能,因此使用其改进版本或替代版本。
2.显示有关弃用的警告消息:这些消息通常不会干扰站点功能。然而,在某些情况下,它们可能会中断服务器发送标头的过程。
例如:这可能会导致登录问题(cookie/会话设置不正确)或转发问题(301/302/303重定向)。
请记住:
-弃用的软件仍然是软件的一部分。
-弃用的代码只是代码的状态(标签)。
MYSQL与MYSQLI的主要区别mysql数据库*
旧数据库驱动程序MySQL只能按程序使用没有针对SQL注入攻击的保护在PHP 5.5.0中被弃用,在PHP 7中被删除
mysqli数据库
新数据库驱动程序当前正在使用准备好的语句可防止攻击
PHP提供了三种不同的API来连接MySQL。这些是mysql(自PHP7起删除)、mysqli和PDO扩展。
mysql_*函数曾经非常流行,但现在已经不鼓励使用了。文档团队正在讨论数据库安全情况,教育用户远离常用的ext/mysql扩展也是其中的一部分(请检查php.internals:弃用ext/mysql)。
后来的PHP开发团队决定在用户连接到MySQL时生成E_DEPRECATED错误,无论是通过MySQL_connect()、MySQL_pconnect()还是ext/MySQL内置的隐式连接功能。
ext/mysql从PHP 5.5开始被正式弃用,从PHP 7开始被删除。
看到红盒子了吗?
当您进入任何mysql_*函数手册页面时,都会看到一个红色框,说明它不应该再使用。
Why
离开ext/mysql不仅仅是为了安全性,还为了能够访问mysql数据库的所有特性。
ext/mysql是为MySQL3.23构建的,从那时起只添加了很少的内容,但大部分都保持了与这个旧版本的兼容性,这使得代码有点难以维护。ext/mysql不支持的缺失功能包括:(来自PHP手册)。
存储过程(无法处理多个结果集)编制的报表加密(SSL)压缩完整字符集支持
不使用mysql_*函数的原因:
未积极开发自PHP 7起删除缺少OO接口不支持非阻塞异步查询不支持准备好的语句或参数化查询不支持存储过程不支持多个语句不支持事务不支持MySQL 5.1中的所有功能
以上引用了昆汀的回答
缺少对准备好的语句的支持尤为重要,因为与使用单独的函数调用手动转义外部数据相比,它们提供了一种更清晰、更不易出错的转义和引用外部数据的方法。
请参阅SQL扩展的比较。
取消弃用警告
当代码转换为MySQLi/PDO时,通过在php.ini中设置error_reporting以排除E_DEPRECATED,可以抑制E_DEPRECATE错误:
error_reporting = E_ALL ^ E_DEPRECATED
注意,这也会隐藏其他弃用警告,但是,这些警告可能针对MySQL以外的其他内容。(摘自PHP手册)
文章PDO与MySQLi:你应该使用哪一个?Dejan Marjanovic将帮助您选择。
更好的方法是PDO,我现在正在编写一个简单的PDO教程。
简单简短的PDO教程
问:我脑海中的第一个问题是:什么是“PDO”?
答:“PDO——PHP数据对象——是一个数据库访问层,提供了对多个数据库的统一访问方法。”
连接到MySQL
使用mysql_*函数,或者我们可以用旧方法(在PHP 5.5及以上版本中已弃用)
$link = mysql_connect('localhost', 'user', 'pass');
mysql_select_db('testdb', $link);
mysql_set_charset('UTF-8', $link);
使用PDO:您需要做的就是创建一个新的PDO对象。构造函数接受用于指定数据库源的参数。PDO的构造函数主要接受四个参数,即DSN(数据源名称)和可选的用户名和密码。
在这里,我认为您对除DSN之外的所有内容都很熟悉;这在PDO中是新的。DSN基本上是一系列选项,它们告诉PDO要使用哪个驱动程序以及连接详细信息。有关进一步参考,请检查PDO MySQL DSN。
$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');
注意:您也可以使用charset=UTF-8,但有时会导致错误,所以最好使用utf8。
如果有任何连接错误,它将抛出一个PDOException对象,该对象可以被捕获以进一步处理Exception。
良好阅读:连接和连接管理¶
还可以将多个驱动程序选项作为数组传递给第四个参数。我建议传递将PDO置于异常模式的参数。因为一些PDO驱动程序不支持本机准备语句,所以PDO执行准备的模拟。它还允许您手动启用此仿真。要使用本机服务器端准备的语句,应显式将其设置为false。
另一种方法是关闭MySQL驱动程序中默认启用的准备模拟,但应关闭准备模拟以安全地使用PDO。
稍后我将解释为什么要关闭准备模拟。要找到原因,请查看此帖子。
只有当您使用的是我不建议使用的旧版本MySQL时,它才可用。
下面是一个如何做到的示例:
$db = new PDO('mysql:host=localhost;dbname=testdb;charset=UTF-8',
'username',
'password',
array(PDO::ATTR_EMULATE_PREPARES => false,
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));
我们可以在PDO构建之后设置属性吗?
是的,我们也可以使用setAttribute方法在PDO构造后设置一些属性:
$db = new PDO('mysql:host=localhost;dbname=testdb;charset=UTF-8',
'username',
'password');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
错误处理
PDO中的错误处理比mysql_*容易得多。
使用mysql_*时的一个常见做法是:
//Connected to MySQL
$result = mysql_query("SELECT * FROM table", $link) or die(mysql_error($link));
OR die()不是处理错误的好方法,因为我们无法处理die中的事情。它只会突然结束脚本,然后将错误反映到屏幕上,而您通常不想向最终用户显示该错误,并让血腥的黑客发现您的模式。或者,mysql_*函数的返回值通常可以与mysql_error()结合使用来处理错误。
PDO提供了更好的解决方案:异常。我们用PDO做的任何事情都应该封装在try-catch块中。通过设置错误模式属性,我们可以强制PDO进入三种错误模式之一。以下是三种错误处理模式。
PDO::ERRMODE_SILENT。它只是设置错误代码,其行为与mysql_*几乎相同,您必须检查每个结果,然后查看$db->errorInfo();以获取错误详细信息。PDO::ERRMODE_WARNING引发E_WARNING。(运行时警告(非致命错误)。脚本的执行不会停止。)PDO::ERRMODE_EXCEPTION:引发异常。它表示PDO引发的错误。您不应该从自己的代码中抛出PDOException。有关PHP中异常的更多信息,请参阅异常。它的行为非常像或死(mysql_error());,当它没有被抓住时。但与or die()不同,如果您选择这样做,PDOException可以被捕获并优雅地处理。
读起来不错:
错误和错误处理¶PDOException类¶例外¶
喜欢:
$stmt->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_SILENT );
$stmt->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING );
$stmt->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );
您可以将其包装在try-catch中,如下所示:
try {
//Connect as appropriate as above
$db->query('hi'); //Invalid query!
}
catch (PDOException $ex) {
echo "An Error occured!"; //User friendly message/message you want to show to user
some_logging_function($ex->getMessage());
}
你现在不必处理try-catch。您可以在任何合适的时间捕捉它,但我强烈建议您使用try-catch。此外,在调用PDO内容的函数外部捕获它可能更有意义:
function data_fun($db) {
$stmt = $db->query("SELECT * FROM table");
return $stmt->fetchAll(PDO::FETCH_ASSOC);
}
//Then later
try {
data_fun($db);
}
catch(PDOException $ex) {
//Here you can handle error and show message/perform action you want.
}
此外,您可以处理by或die(),或者我们可以说像mysql_*,但它会非常多样化。通过关闭display_errors并读取错误日志,可以在生产中隐藏危险的错误消息。
现在,在阅读了以上所有内容之后,您可能会想:当我只想开始学习简单的SELECT、INSERT、UPDATE或DELETE语句时,这到底是什么?别担心,我们来了:
选择数据
因此,您在mysql_*中所做的是:
<?php
$result = mysql_query('SELECT * from table') or die(mysql_error());
$num_rows = mysql_num_rows($result);
while($row = mysql_fetch_assoc($result)) {
echo $row['field1'];
}
现在在PDO中,您可以这样做:
<?php
$stmt = $db->query('SELECT * FROM table');
while($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
echo $row['field1'];
}
Or
<?php
$stmt = $db->query('SELECT * FROM table');
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
//Use $results
注意:如果使用下面的方法(query()),此方法将返回PDOStatement对象。因此,如果您想获取结果,请像上面那样使用它。
<?php
foreach($db->query('SELECT * FROM table') as $row) {
echo $row['field1'];
}
在PDOData中,它是通过->fetch()获得的,这是一个语句句柄的方法。在调用fetch之前,最好的方法是告诉PDO您希望如何获取数据。在下面的部分中,我将对此进行解释。
提取模式
注意在上面的FETCH()和fetchAll()代码中使用了PDO::FETCH_ASSOC。这告诉PDO以关联数组的形式返回行,字段名作为键。还有许多其他提取模式,我将逐一解释。
首先,我解释如何选择提取模式:
$stmt->fetch(PDO::FETCH_ASSOC)
在上文中,我一直在使用fetch()。您还可以使用:
PDOStatement::fetchAll()-返回包含所有结果集行的数组PDOStatement::fetchColumn()-从结果集的下一行返回一列PDOStatement::fetchObject()-获取下一行并将其作为对象返回。PDOStatement::setFetchMode()-设置此语句的默认获取模式
现在我进入提取模式:
PDO::FETCH_ASSOC:返回结果集中返回的按列名索引的数组PDO::FETCH_BOTH(默认值):返回一个按结果集中返回的列名和0索引列编号索引的数组
还有更多的选择!请阅读PDOStatement Fetch文档中的所有内容。。
获取行计数:
您可以获取PDOStatement并执行rowCount(),而不是使用mysql_num_rows来获取返回的行数,例如:
<?php
$stmt = $db->query('SELECT * FROM table');
$row_count = $stmt->rowCount();
echo $row_count.' rows selected';
获取上次插入的ID
<?php
$result = $db->exec("INSERT INTO table(firstname, lastname) VAULES('John', 'Doe')");
$insertId = $db->lastInsertId();
插入和更新或删除语句
我们在mysql_*函数中所做的是:
<?php
$results = mysql_query("UPDATE table SET field='value'") or die(mysql_error());
echo mysql_affected_rows($result);
在pdo中,同样的事情可以通过以下方式完成:
<?php
$affected_rows = $db->exec("UPDATE table SET field='value'");
echo $affected_rows;
在上述查询中,PDO::exec执行SQL语句并返回受影响的行数。
稍后将介绍插入和删除。
上述方法仅在查询中不使用变量时有用。但当您需要在查询中使用变量时,千万不要像上面那样尝试,因为准备好的语句或参数化语句就是这样。
编制的报表
问:什么是准备好的声明,为什么我需要它们?答:准备好的语句是预编译的SQL语句,只需将数据发送到服务器即可多次执行。
使用准备好的语句的典型工作流程如下(引自维基百科三点):
准备:语句模板由应用程序创建并发送到数据库管理系统(DBMS)。某些值未指定,称为参数、占位符或绑定变量(以下标记为?):插入产品(名称、价格)值(?,?)DBMS对语句模板进行分析、编译和执行查询优化,并在不执行结果的情况下存储结果。执行:稍后,应用程序为参数提供(或绑定)值,DBMS执行语句(可能返回结果)。应用程序可以使用不同的值执行任意次数的语句。在本例中,它可能为第一个参数提供“面包”,为第二个参数提供1.00。
您可以通过在SQL中包含占位符来使用准备好的语句。基本上有三个没有占位符(不要尝试使用上面的变量its),一个没有命名占位符,一个有命名占位符。
问:现在,什么是命名占位符,我如何使用它们?A.命名占位符。使用冒号前面的描述性名称,而不是问号。我们不关心名称占位符中的位置/价值顺序:
$stmt->bindParam(':bla', $bla);
bindParam(参数、变量、data_type、长度、驱动程序选项)
也可以使用执行数组进行绑定:
<?php
$stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");
$stmt->execute(array(':name' => $name, ':id' => $id));
$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
OOP朋友的另一个很好的特性是,命名占位符可以直接将对象插入数据库,前提是财产与命名字段匹配。例如:
class person {
public $name;
public $add;
function __construct($a,$b) {
$this->name = $a;
$this->add = $b;
}
}
$demo = new person('john','29 bla district');
$stmt = $db->prepare("INSERT INTO table (name, add) value (:name, :add)");
$stmt->execute((array)$demo);
问:现在,什么是未命名占位符,我如何使用它们?A.让我们举个例子:
<?php
$stmt = $db->prepare("INSERT INTO folks (name, add) values (?, ?)");
$stmt->bindValue(1, $name, PDO::PARAM_STR);
$stmt->bindValue(2, $add, PDO::PARAM_STR);
$stmt->execute();
and
$stmt = $db->prepare("INSERT INTO folks (name, add) values (?, ?)");
$stmt->execute(array('john', '29 bla district'));
在上面,你可以看到这些?而不是像名字占位符那样的名字。现在在第一个示例中,我们将变量分配给各种占位符($stmt->bindValue(1,$name,PDO::PARAM_STR);)。然后,我们将值分配给这些占位符并执行该语句。在第二个示例中,第一个数组元素转到第一个?第二个到第二个?。
注意:在未命名占位符中,我们必须注意传递给PDOState::execute()方法的数组中元素的正确顺序。
SELECT、INSERT、UPDATE、DELETE准备好的查询
选择:$stmt=$db->prepare(“SELECT*FROM table WHERE id=:id AND name=:name”);$stmt->execute(数组(“:name”=>$name,“:id”=>$id));$rows=$stmt->fetchAll(PDO::FETCH_ASSOC);插入:$stmt=$db->prepare(“INSERT INTO table(field1,field2)VALUES(:field1,:field2)”);$stmt->execute(数组(':field1'=>$field1,':field2'=>$field2));$affected_rows=$stmt->rowCount();删除:$stmt=$db->prepare(“DELETE FROM table WHERE id=:id”);$stmt->bindValue(“:id”,$id,PDO::PARAM_STR);$stmt->execute();$affected_rows=$stmt->rowCount();更新:$stmt=$db->prepare(“UPDATE table SET name=?WHERE id=?”);$stmt->execute(数组($name,$id));$affected_rows=$stmt->rowCount();
注:
然而,PDO和/或MySQLi并不完全安全。检查答案PDO准备的语句是否足以防止SQL注入?由ircmaxell设计。此外,我引用了他的回答中的部分内容:
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->query('SET NAMES GBK');
$stmt = $pdo->prepare("SELECT * FROM test WHERE name = ? LIMIT 1");
$stmt->execute(array(chr(0xbf) . chr(0x27) . " OR 1=1 /*"));
如果您确定不想升级php版本,则无需更新,但同时您也不会获得安全更新,这将使您的网站更容易受到黑客攻击,这是主要原因。
首先,让我们从我们给每个人的标准评论开始:
请不要在新代码中使用mysql_*函数。它们不再被维护,并被正式弃用。看到红盒子了吗?学习准备好的语句,并使用PDO或MySQLi-本文将帮助您决定使用哪一种。如果你选择PDO,这里有一个很好的教程。
让我们一句一句地来解释一下:
它们不再被维护,并被正式弃用这意味着PHP社区正在逐渐放弃对这些非常古老的函数的支持。它们很可能在未来(最近)版本的PHP中不存在!在不久的将来,继续使用这些函数可能会破坏代码。新!-ext/mysql从PHP 5.5开始正式被弃用!更新!ext/mysql已在PHP7中删除。相反,你应该学习准备好的陈述mysql_*扩展不支持准备好的语句,这是针对SQL注入的一种非常有效的对策。它修复了依赖MySQL的应用程序中的一个非常严重的漏洞,该漏洞允许攻击者访问您的脚本并对您的数据库执行任何可能的查询。有关更多信息,请参阅如何防止PHP中的SQL注入?看到红盒子了吗?当您转到任何mysql函数手册页面时,都会看到一个红色框,说明不应该再使用它。使用PDO或MySQLi有更好、更健壮和构建良好的替代方案,PDO-PHP数据库对象,它为数据库交互提供了完整的OOP方法,以及MySQLi,它是MySQL特有的改进。
说到技术原因,只有几个,非常具体,很少使用。很可能你一生中都不会使用它们。也许我太无知了,但我从来没有机会使用它们
非阻塞异步查询返回多个结果集的存储过程加密(SSL)压缩
如果您需要,这些无疑是从mysql扩展转向更时尚、更现代的技术原因。
尽管如此,也有一些非技术性的问题,这会使您的体验更加困难
在现代PHP版本中进一步使用这些函数将引起不推荐使用的级别通知。它们可以简单地关闭。在不久的将来,它们可能会从默认的PHP构建中删除。也没什么大不了的,因为mydsql-ext将被迁移到PECL中,每个宿主都会很乐意用它来编译PHP,因为他们不想失去那些网站工作了几十年的客户。Stackoverflow社区的强烈抵抗。每次你提到这些诚实的功能时,你都会被告知它们是严格的禁忌。作为一个普通的PHP用户,您使用这些函数的想法很可能是错误的。就因为有这么多的教程和手册教你错误的方法。不是函数本身-我必须强调它-而是它们的使用方式。
后一个问题是一个问题。但是,在我看来,提议的解决方案也没有更好。在我看来,所有这些PHP用户都将立即学习如何正确处理SQL查询,这是一个过于理想化的梦想。他们很可能只是机械地将mysql_*更改为mysqli_*,保持方法不变。特别是因为mysqli使准备好的语句使用起来非常痛苦和麻烦。更不用说,本机准备的语句不足以防止SQL注入,mysqli和PDO都没有提供解决方案。
因此,我宁愿反对错误的做法,以正确的方式教育人们,而不是反对这种诚实的延伸。
此外,还有一些错误或不重要的原因,如
不支持存储过程(我们使用的是mysql_query(“CALL my_proc”);年龄)不支持交易(同上)不支持多个语句(谁需要它们?)不在积极发展中(那么,它对你有什么实际影响吗?)缺少OO接口(创建一个OO接口需要几个小时)不支持准备语句或参数化查询
最后一点很有趣。虽然mysql-ext不支持本机准备的语句,但出于安全考虑,它们不是必需的。我们可以使用手动处理的占位符轻松地伪造准备好的语句(就像PDO一样):
function paraQuery()
{
$args = func_get_args();
$query = array_shift($args);
$query = str_replace("%s","'%s'",$query);
foreach ($args as $key => $val)
{
$args[$key] = mysql_real_escape_string($val);
}
$query = vsprintf($query, $args);
$result = mysql_query($query);
if (!$result)
{
throw new Exception(mysql_error()." [$query]");
}
return $result;
}
$query = "SELECT * FROM table where a=%s AND b LIKE %s LIMIT %d";
$result = paraQuery($query, $a, "%$b%", $limit);
瞧,一切都是参数化和安全的。
但好吧,如果你不喜欢手册中的红色框,那么会出现一个选择问题:mysqli还是PDO?
答案如下:
如果您了解使用数据库抽象层并寻找API来创建抽象层的必要性,那么mysqli是一个非常好的选择,因为它确实支持许多mysql特有的特性。如果像绝大多数PHP用户一样,您在应用程序代码中正确使用原始API调用(这基本上是错误的做法),那么PDO是唯一的选择,因为这个扩展假装不仅仅是API,而是一个半DAL,仍然不完整,但提供了许多重要功能,其中两个功能使PDO与mysqli有着重要区别:与mysqli不同,PDO可以通过值绑定占位符,这使得动态构建的查询变得可行,而无需几个屏幕的代码。与mysqli不同,PDO总是可以在一个简单的普通数组中返回查询结果,而mysqli只能在mysqlnd安装上执行。
因此,如果你是一个普通的PHP用户,并且想在使用本机准备的语句时省去一大堆麻烦,那么PDO是唯一的选择。然而,PDO也不是银弹,也有其困难。因此,我为PDO标签wiki中的所有常见陷阱和复杂案例编写了解决方案
然而,每个谈论扩展的人总是忽略了关于Myqli和PDO的两个重要事实:
事先准备好的声明不是灵丹妙药。有一些动态标识符不能使用准备好的语句绑定。存在具有未知数量参数的动态查询,这使得查询构建成为一项困难的任务。mysqli_*和PDO函数都不应该出现在应用程序代码中。在它们和应用程序代码之间应该有一个抽象层,它将在内部完成绑定、循环、错误处理等所有肮脏的工作,使应用程序代码变得干干净净。特别是对于动态查询构建这样的复杂情况。
因此,仅仅切换到PDO或mysqli是不够的。必须使用ORM、查询生成器或任何数据库抽象类,而不是在代码中调用原始API函数。相反,如果在应用程序代码和mysqlAPI之间有一个抽象层,那么使用哪个引擎实际上并不重要。您可以使用mysql-ext,直到它被弃用,然后轻松地将抽象类重写到另一个引擎,使所有应用程序代码保持完整。
下面是基于我的safemysql类的一些示例,以说明这样的抽象类应该是什么样子的:
$city_ids = array(1,2,3);
$cities = $db->getCol("SELECT name FROM cities WHERE is IN(?a)", $city_ids);
将这一行与PDO所需的代码量进行比较。然后,将您需要的大量代码与原始Myqli准备的语句进行比较。请注意,错误处理、分析和查询日志已经内置并正在运行。
$insert = array('name' => 'John', 'surname' => "O'Hara");
$db->query("INSERT INTO users SET ?u", $insert);
将其与通常的PDO插入进行比较,当每个字段名重复六到十次时,在所有这些众多的命名占位符、绑定和查询定义中。
另一个例子:
$data = $db->getAll("SELECT * FROM goods ORDER BY ?n", $_GET['order']);
您很难找到PDO处理此类实际案例的示例。而且这太啰嗦了,很可能是不安全的。
所以,再一次,你应该关注的不仅仅是原始驱动程序,而是抽象类,它不仅适用于初学者手册中的愚蠢示例,也适用于解决任何现实问题。