使用预处理语句是在 PHP 中执行 SQL 语句的正确方法,我必须真诚地赞扬你这样做的正确方法。
但是,您已经注意到 API 不适合在应用程序代码中使用准系统。大多数现代 PHP 应用程序都使用 PDO,即便如此,它也与某种抽象层一起使用。这些 API 并非旨在单独使用。
如果您必须使用 mysqli,那么您可以自己编写一个非常简单的包装类。包装器至少应该有两件事。一种使用默认参数打开连接的简单直观的方法,以及一种用于执行准备好的语句的简单单行方法。
考虑我的例子:
<?php
class DBClass extends mysqli {
public function __construct($host, $user = null, $pass = null, $db = null, $port = null, $socket = null) {
// enable error reporting
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
// instantiate mysqli
parent::__construct($host, $user, $pass, $db, $port, $socket);
// set the correct charset
$this->set_charset('utf8mb4');
}
/**
* Executes prepared statement
*
* @param string $sql SQL query with placeholders e.g. SELECT * FROM users WHERE Id=?
* @param array $params An array of parameters to be bound
* @return array|null
*/
public function safeQuery(string $sql, array $params = []): ?array {
// prepare/bind/execute
$stmt = $this->prepare($sql);
if ($params) {
$stmt->bind_param(str_repeat("s", count($params)), ...$params);
}
$stmt->execute();
// If the query produces results then fetch them into multidimensional array
if ($result = $stmt->get_result()) {
return $result->fetch_all(MYSQLI_BOTH);
}
// return nothing if the query was successfully executed and it didn't produce results
return null;
}
public function row(string $sql, array $params = []): ?array {
return $this->safeQuery($sql, $params)[0] ?? [];
}
public function single(string $sql, array $params = []) {
$data = $this->row($sql, $params);
return array_shift($data);
}
}
这是一个简单的类,它扩展了 mysqli 并向其添加了 3 个新方法:safeQuery、row 和 single。您可以使用它们来执行静态查询或准备好的语句,并分别检索多行、单行或单个值。
以下是如何使用此类而不是 mysqli:
$db = new DBClass('localhost', 'user', 'pass', 'dbname');
// select multiple rows
$id = 2;
foreach ($db->safeQuery('SELECT title FROM movie WHERE directorId=?', [$id]) as $row) {
echo $row['title']."\n";
}
// select a single row
$movie = $db->row('SELECT id FROM movie WHERE title=?', ['Titanic']);
if ($movie) {
echo $movie['id']."\n";
}
// select a single column from a single row
echo $db->single('SELECT title FROM movie WHERE id=1');
值得指出的是store_result() 和bind_result() 方法不是非常有用,使用它们可能会导致脏代码。如果您使用与此处演示的一样简单的抽象类,则可以省去绑定变量并一一获取它们的麻烦。