PHP MySQL Class

Русскоязычная документация находится тут

您可以將其作為存檔下載，從該網站克隆，或透過 Composer 下載（連結到 packagist.org）：

 composer require krugozor/database

krugozor/database是一個 PHP >= 8.0 類別函式庫，使用 PHP 擴充 mysqli 來簡單、方便、快速、安全地使用 MySql 資料庫。

在 PHP 中使用 mysql 資料庫的所有函式庫的主要缺點是：

• 冗長
  • 開發人員有兩種方法來防止 SQL 注入：
    • 使用準備好的查詢。
    • 手動轉義進入 SQL 查詢正文的參數。字串參數透過 mysqli_real_escape_string 運行，並將數字參數轉換為適當的類型 - int和float 。
  • 這兩種方法都有很大的缺點：
    • 準備好的查詢非常冗長。使用「開箱即用」的 PDO 抽像或 mysqli 擴展，不聚合從 DBMS 獲取資料的所有方法是根本不可能的 - 為了從表中獲取值，您需要編寫至少 5 行程式碼！對於每個請求等等！
    • 甚至沒有討論手動轉義進入 SQL 查詢正文的參數。一個優秀的程式設計師，一個懶惰的程式設計師。一切都應該盡可能自動化。
• 無法取得 SQL 查詢以進行偵錯
  • 要理解為什麼 SQL 查詢在程式中不起作用，您需要對其進行偵錯 - 尋找邏輯或語法錯誤。要查找錯誤，您需要「查看」SQL 查詢本身，資料庫「咒罵」該查詢，並將參數替換到其主體中。那些。形成了高階SQL。如果開發人員使用 PDO 並準備好查詢，那麼這是......不可能的！在未提供的本機庫中沒有最方便的機制。它要么會被破壞，要么會爬進資料庫日誌。

1. 消除冗長 - 使用「本機」函式庫時，您只需編寫一行程式碼即可執行一個請求，而不是 3 行或更多行程式碼。
2. 根據指定類型的佔位符篩選進入請求正文的所有參數 - 可靠地防止 SQL 注入。
3. 不會取代「本機」mysqli 轉接器的功能，而只是對其進行補充。
4. 可擴展。事實上，該程式庫僅提供一個解析器和 SQL 查詢的執行，並保證防止 SQL 注入。您可以從任何庫類別繼承並使用庫機制以及mysqli和mysqli_result機制來建立您需要使用的方法。

大多數各種資料庫驅動程式的包裝器都是一堆無用的程式碼，具有令人厭惡的架構。他們的作者並不理解包裝器本身的實際用途，而是將它們轉變為建構器查詢（sql 建構器）、ActiveRecord 函式庫和其他 ORM 解決方案。

krugozor/database庫不是以上任何一個。這只是一個在 MySQL DBMS 框架內使用常規 SQL 的便利工具 - 僅此而已！

佔位符—寫入 SQL 查詢字串而不是明確值（查詢參數）中的特殊類型標記。並且值本身「稍後」作為後續參數傳遞給執行 SQL 查詢的 main 方法：

 $ result = $ db -> query (
    " SELECT * FROM `users` WHERE `name` = '?s' AND `age` = ?i " ,
    " d'Artagnan " , 41
);

透過佔位符系統傳遞的 SQL 查詢參數由特殊的轉義機制進行處理，具體取決於佔位符的類型。那些。您不再需要將變數包裝在轉義函數類型mysqli_real_escape_string()中或像以前一樣將它們轉換為數字類型：

 <?php
// Previously, before each request to the DBMS, we did
// something like this (and many people still don't do it):
$ id = ( int ) $ _POST [ ' id ' ];
$ value = mysqli_real_escape_string ( $ mysql , $ _POST [ ' value ' ]);
$ result = mysqli_query ( $ mysql , " SELECT * FROM `t` WHERE `f1` = ' $ value ' AND `f2` = $ id " );

現在，快速編寫查詢變得很容易，最重要的是， krugozor/database庫完全防止了任何可能的 SQL 注入。

填料的類型及其用途如下所述。在熟悉填充器的類型之前，有必要了解庫機制的工作原理。

PHP 是一種弱型別語言，在開發這個函式庫時出現了意識形態上的困境。假設我們有一個具有以下結構的表：

 ` name ` varchar not null
` flag ` tinyint not null

並且庫必須（出於某種原因，可能超出開發人員的控制）執行以下請求：

 $ db -> query (
    " INSERT INTO `t` SET `name` = '?s', `flag` = ?i " ,
    null , false
);

在此範例中，嘗試將null值寫入not null文字欄位name ，並將false布林類型寫入flag數字欄位。在這種情況下我們該怎麼辦？

• 誰應該負責驗證查詢參數 - 客戶端程式碼還是庫？
• 在這種情況下，我們應該中斷程式執行，還是應該應用一些操作以便將資料寫入資料庫？
• 我們能否將tinyint列的false值視為值0 ，並將name列的null視為空字串？
• 我們如何簡化或標準化程式碼中的此類問題？

針對提出的問題，決定本館實施兩種營運模式。

• Mysql::MODE_STRICT - 佔位符類型和參數類型的嚴格匹配模式。在Mysql::MODE_STRICT模式下，參數類型必須與佔位符類型相符。例如，嘗試將值55.5或'55.5'作為整數佔位符?i參數傳遞將導致拋出異常：

 // set strict mode
$ db -> setTypeMode (Mysql:: MODE_STRICT );
// this expression will not be executed, an exception will be thrown:
// attempt to specify a value of type "integer" for placeholder of type "double" in query template "SELECT ?i"
$ db -> query ( ' SELECT ?i ' , 55.5 );

• Mysql::MODE_TRANSFORM — 當佔位符類型和參數類型不符時，參數轉換模式為佔位符類型。 Mysql::MODE_TRANSFORM模式是預設的，並且是一種「寬容」模式 - 如果佔位符類型和參數類型不匹配，它不會拋出異常，而是嘗試使用以下方法將參數轉換為所需的佔位符類型： PHP 語言本身。順便說一句，作為該庫的作者，我總是使用這種特定模式，我在實際工作中從未使用過嚴格模式（ Mysql::MODE_STRICT ），但也許您會特別需要它。

Mysql::MODE_TRANSFORM中允許以下轉換：

• 轉換為int型別（佔位符?i ）
  • 以string和double類型表示的浮點數
  • bool TRUE 轉換為int(1) ，FALSE 轉換為int(0)
  • null轉換為int(0)
• 轉換為double型別（佔位符?d ）
  • 以string和int類型表示的整數
  • bool TRUE 變成float(1) ，FALSE 變成float(0)
  • null轉換為float(0)
• 轉換為string型別（佔位符?s ）
  • bool TRUE 轉換為string(1) "1" ， FALSE 轉換為string(1) "0" 。這種行為與 PHP 中將bool轉換為int不同，在實作中，布林類型在 MySql 中通常被寫為數字。
  • 根據 PHP 的轉換規則將numeric轉換為字串
  • null轉換為string(0) ""
• 轉換為null類型（佔位符?n ）
  • 任何論點。
• 對於陣列、物件和資源，不允許轉換。

 $ db -> query (
    ' SELECT * FROM `users` WHERE `id` = ?i ' , 123
);

模板轉換後的SQL查詢：

 SELECT * FROM ` users ` WHERE ` id ` = 123

注意力！如果您對超出PHP_INT_MAX限制的數字進行操作，則：

• 在程式中僅將它們作為字串進行操作。
• 請勿使用此佔位符，請使用字串佔位符?s （見下文）。重點是，超出PHP_INT_MAX限制的數字，PHP 將解釋為浮點數。庫解析器將嘗試將參數轉換為int類型，結果「結果將是未定義的，因為浮點數沒有足夠的精度來傳回正確的結果。在這種情況下，既不會顯示警告，也不會顯示註！

 $ db -> query (
    ' SELECT * FROM `prices` WHERE `cost` IN (?d, ?d) ' ,
    12.56 , ' 12.33 '
);

模板轉換後的SQL查詢：

 SELECT * FROM ` prices ` WHERE ` cost ` IN ( 12 . 56 , 12 . 33 )

注意力！如果您使用函式庫來處理double資料類型，請設定適當的區域設置，以便整數和小數部分的分隔符號在 PHP 層級和 DBMS 層級相同。

使用mysqli::real_escape_string()方法對參數值進行轉義：

 $ db -> query (
    ' SELECT "?s" ' ,
    " You are all fools, and I am d'Artagnan! "
);

模板轉換後的SQL查詢：

 SELECT " You are all fools, and I am d'Artagnan! " 

使用mysqli::real_escape_string()方法+轉義 LIKE 運算子中使用的特殊字元（ %和_ ）對參數值進行轉義：

 $ db -> query ( ' SELECT "?S" ' , ' % _ ' );

模板轉換後的SQL查詢：

 SELECT " % _ " 

任何參數的值都會被忽略，佔位符將替換為 SQL 查詢中的字串NULL ：

 $ db -> query ( ' SELECT ?n ' , 123 );

模板轉換後的SQL查詢：

 SELECT NULL 

其中字元*是佔位符之一：

• i （整數佔位符）
• d （浮動佔位符）
• s （字串型別佔位符）

轉換和轉義的規則與上述單一標量類型的規則相同。例子：

 $ db -> query (
    ' INSERT INTO `test` SET ?Ai ' ,
    [ ' first ' => ' 123 ' , ' second ' => 456 ]
);

模板轉換後的SQL查詢：

 INSERT INTO ` test ` SET ` first ` = " 123 " , ` second ` = " 456 " 

其中*是以下類型之一：

• i （整數佔位符）
• d （浮動佔位符）
• s （字串類型佔位符）

轉換和轉義的規則與上述單一標量類型的規則相同。例子：

 $ db -> query (
    ' SELECT * FROM `test` WHERE `id` IN (?ai) ' ,
    [ 123 , 456 ]
);

模板轉換後的SQL查詢：

 SELECT * FROM ` test ` WHERE ` id ` IN ( " 123 " , " 456 " )

例子：

 $ db -> query (
    ' INSERT INTO `users` SET ?A[?i, "?s"] ' ,
    [ ' age ' => 41 , ' name ' => " d'Artagnan " ]
);

模板轉換後的SQL查詢：

 INSERT INTO ` users ` SET ` age ` = 41 , ` name ` = " d'Artagnan " 

例子：

 $ db -> query (
    ' SELECT * FROM `users` WHERE `name` IN (?a["?s", "?s"]) ' ,
    [ ' Daniel O"Neill ' , " d'Artagnan " ]
);

模板轉換後的SQL查詢：

 SELECT * FROM ` users ` WHERE ` name ` IN ( " Daniel O " Neill " , " d ' Artagnan") 

此佔位符適用於資料表或欄位的名稱作為參數在查詢中傳遞的情況。欄位和表格名稱用撇號括起來：

 $ db -> query (
    ' SELECT ?f FROM ?f ' ,
    ' name ' ,
    ' database.table_name '
);

模板轉換後的SQL查詢：

 SELECT ` name ` FROM ` database ` . ` table_name `

該函式庫要求程式設計師遵循 SQL 語法。這意味著以下查詢將無法運作：

 $ db -> query (
    ' SELECT CONCAT("Hello, ", ?s, "!") ' ,
    ' world '
);

— 佔位符?s必須用單引號或雙引號引起來：

 $ db -> query (
    ' SELECT concat("Hello, ", "?s", "!") ' ,
    ' world '
);

模板轉換後的SQL查詢：

 SELECT concat( " Hello, " , " world " , " ! " )

對於那些習慣使用PDO 的人來說，這看起來很奇怪，但是實現一種機制來確定是否有必要在某種情況下將佔位符值括在引號中是一項非常重要的任務，需要編寫整個解析器。

請參閱檔案 ./console/tests.php