Работа с базой данных MySQL средствами PHP - Программирование, компьютеры и кибернетика лекция
Главная
Программирование, компьютеры и кибернетика
Работа с базой данных MySQL средствами PHP
Функции, позволяющие работать с базой данных MySQL средствами РНР. Соединение с сервером и его разрыв. Создание и выбор базы данных. Доступ к отдельному полю записи. Комплексное использование информационных функций. Запросы, отправляемые серверу MySQL.
посмотреть текст работы
скачать работу можно здесь
полная информация о работе
весь список подобных работ
Нужна помощь с учёбой? Наши эксперты готовы помочь!
Нажимая на кнопку, вы соглашаетесь с
политикой обработки персональных данных
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
РАБОТА С БАЗОЙ ДАННЫХ MySQL СРЕДСТВАМИ РНР
Лекция. Подготовлена Прохоровым В.С.
1. СОЕДИНЕНИЕ РНР-СЦЕНАРИЕВ с таблицами MySQL
Рассмотрим наиболее часто используемых функций, позволяющих работать с базой данных MySQL средствами РНР.
При взаимодействии РНР и MySQL программа взаимодействует с СУБД посредством совокупности функций.
1.1 Соединение с сервером. Функция mysql_connect
Прежде чем работать с базой данных, необходимо установить с ней сетевое соединение, а также провести авторизацию пользователя. Для этого служит функция mysql_connect()
resource mysql_connect([string $server[,string $username[,string $password]]])
Эта функция устанавливает сетевое соединение с базой данных MySQL, расположенной на хосте $server (по умолчанию это localhost, т.е. текущий компьютер) и возвращает идентификатор открытого соединения. Вся дальнейшая работа ведется именно с этим идентификатором. Все другие функции, принимающие этот идентификатор (дескриптор) в качестве аргумента, будут однозначно определять выбранную базу данных. При регистрации указывается имя пользователя $username и пароль $password (по умолчанию имя пользователя, от которого запущен текущий процесс - при отладке скриптов: root, и пустой пароль):
$dblocation = "localhost"; //Имя сервера
$dbuser = "root"; //Имя пользователя
//Осуществляем соединение с сервером базы данных
//Подавляем вывод ошибок символом @ перед вызовом функции
$dbcnx = @ mysql_connect($dblocation, $dbuser, $dbpasswd);
if (!$dbcnx) //Если дескриптор равен 0, соединение не установлено
echo("
B настоящий момент сервер базы данных не доступен, поэтому корректное отображение страницы невозможно.Р");
Переменные $dblocation, $dbuser и $dbpasswd хранят имя сервера, имя пользователя и пароль.
1.2 Разрыв соединения с сервером. Функция mysql_close
Соединение с MySQL - сервером будет автоматически закрыто по завершении работы сценария, либо же при вызове функции mysql_close
bool mysql_close ([resource $link_identifier])
Эта функция разрывает соединение с сервером MySQL, и возвращает true при успешном выполнении операции и false в противном случае. Функция принимает в качестве аргумента дескриптор соединения с базой данных, возвращаемый функцией mysql_connect.
$dblocation = "localhost"; //Имя сервера
$dbuser = "root"; //Имя пользователя
//Осуществляем соединение с сервером базы данных
//Подавляем вывод ошибок символом @ перед вызовом функции
$dbcnx = @ mysql_connect($dblocation, $dbuser, $dbpasswd);
if (!$dbcnx) //Если дескриптор равен 0, соединение не установлено
echo("
B настоящий момент сервер базы данных не доступен, поэтому корректное отображение страницы невозможно.Р");
if (mysql_close($dbcnx)) //разрываем соединение
echo("Соединение с базой данных прекращено");
echo("He удалось завершить соединение");
1.3 Создание базы данных. Функция CREATE DATABASE
Команда -- создание базы данных доступна только администратору сервера, и на большинстве хостингов ее нельзя выполнять:
Создает новую базу данных с именем имяБазыданных.
//Создаем базу данных $dbname - это может делать только суперпользователь
//Если база данных уже существует, будет некритическая ошибка
@mysql_query('CREATE DATABASE $dbname');
Рекомендуется везде использовать апострофы ('SQL - команда') в качестве ограничителей строк, содержащих SQL - команды. Этим можно гарантировать, что никакая $ - переменная случайно не будет интерполирована (т.е. не заменится на свое значение), и увеличится безопасность скриптов.
Команда создания базы данных CREATE DATABASE доступна только суперпользователю, и на большинстве хостингов простому пользователю ее выполнить невозможно. Она доступна только администратору сервера.
Для экспериментов создадим базу данных testbase, выполнив SQL-запрос из командной строки. Для этого нужно войти в систему MySQL и ввести в командной строке MySQL:
1.4 Выбор базы данных. Функция mysql_select_db
До того как послать первый запрос серверу MySQL, необходимо указать, с какой базой данных мы собираемся работать. Для этого предназначена функция mysql_select_db:
bool mysql_select_db(string $database_name [,resource $link_identifier])
Она уведомляет PHP, что в дальнейших операциях с соединением $link_identifier будет использоваться база данных $database_name.
Использование этой функции эквивалентно вызову команды use в SQL-запросе, т. е. функция mysql_select_db выбирает базу данных для дальнейшей работы, и все последующие SQL-запросы применяются к выбранной базе данных. Функция принимает в качестве аргументов название выбираемой базы данных database_name и дескриптор соединения resource. Функция возвращает true при успешном выполнении операции и false -- в противном случае:
if (! @mysql_select_db($dbname, $dbcnx))
echo("
B настоящий момент база данных не доступна, поэтому корректное отображение страницы невозможно. Р");
Если в процессе работы с MySQL возникают ошибки (например, в запросе не сбалансированы скобки или же не хватает параметров), то сообщение об ошибке и ее номер можно получить с помощью описанных далее двух функций.
Важно аккуратно и своевременно использовать эти функции, потому что иначе отладка сценариев может усложниться.
int mysql_errno ([int $link_identifier])
возвращает номер последней зарегистрированной ошибки. Идентификатор соединения $link_identifier можно не указывать, если за время работы сценария было установлено только одно соединение.
string mysql_error([int $link_identifier])
возвращает не номер, а строку, содержащую текст сообщения об ошибке. Ее удобно применять в отладочных целях. Обычно mysql_error используют вместе с конструкцией or die (), например:
@mysql_connect("localhost", "user", "password")
or die("Ошибка при подключении к базе данных: ".mysql_error());
Оператор @, как обычно, служит для подавления стандартного предупреждения, которое может возникнуть в случае ошибки.
В последних версиях РНР предупреждения в MySQL-функциях по умолчанию не регистрируются.
1.6 Автоматизация подключения к MySQL . Файл ( config.php )
Обычно на сайте существует сразу несколько скриптов, которым нужен доступ к одной и той же базе данных.
Код, ответственный за подключение к MySQL рекомендуется выделить в отдельный файл, а затем подключать с помощью функции include к нужным скриптам.
Имеет смысл помещать функции для соединения, выбора и создания базы данных в тот же файл (config.php), где объявлены переменные с именем сервера $dblocation, именем пользователя $dbuser, паролем $dbpasswd и именем базы данных $dbname:
//config.php код файла, содержащего параметры соединения с сервером и выбора базы данных
//выводит сообщения об ошибках соединения в браузер
$dblocation = "localhost"; //Имя сервера
$dbname = "вставить имя базы" //Имя базы данных: создаваемой или уже существующей
$dbuser = "root"; //Имя пользователя базы данных
//Осуществляем соединение с сервером базы данных
//Подавляем вывод ошибок символом @ перед вызовом функции
$dbcnx=@mysql_connect($dblocation,$dbuser,$dbpasswd);
if (!$dbcnx) //Если дескриптор равен 0, соединение с сервером базы данных не установлено
echo("
В настоящее время сервер базы данных не доступен, поэтому корректное отображение страницы невозможно.
");
//Создаем базу данных $dbname - это может делать только суперпользователь
//Если база данных уже существует, будет некритическая ошибка
@mysql_query('CREATE DATABASE if not exists $dbname');
or die("MySQL error: ".mysql_error());
//Код соединения с базой данной: осуществляем однозначный выбор только что созданной базы или уже существующей базы данных
//Подавляем вывод ошибок символом @ перед вызовом функции
if(!@mysql_select_db($dbname, $dbcnx)) //Если дескриптор равен 0, соединение с базой данных не установлено
echo(" В настоящее время база данных не доступна, поэтому корректное отображение страницы невозможно.
");
//Небольшая вспомогательная функция, которая выводит сообщение
//об ошибке в случае ошибки запроса к базе данных
2. ВЫПОЛНЕНИЕ ЗАПРОСОВ К БАЗЕ ДАННЫХ
2.1 Создание таблицы. Функция CREATE TABLE:
CREATE [IF NOT EXISTS] TABLE Имя Таблицы (ИмяПоля тип, ИмяПоля тип,)
Этой командой в базе данных создается новая таблица с колонками (полями), определяемыми своими именами (ИмяПоля) и указанными типами. После создания таблицы в нее можно будет добавлять записи, состоящие из перечисленных в данной команде полей.
Листинг test_11.php. Программа, создающая новую таблицу в базе данных:
?php ## Создание новой таблицы в БД.
include "config.php";//Подключение к серверу и выбор базы данных
mysql_query('CREATE TABLE if not exists people
or die("MySQL error: ".mysql_error());
Этот сценарий создает новую таблицу people с двумя полями. Первое поле имеет тип INT (целое) и имя id. Второе -- тип TEXT (текстовая строка) и имя name.
Если таблица существует, сработает конструкция or die ().
Необязательная фраза if not exists, если она задана, говорит серверу MySQL, что он не должен генерировать сообщение об ошибке, если таблица с указанным именем уже существует в базе данных.
Необходимо сделать нужные изменения (изменить название базы данных на testbase) в файле config.php:
Можно просмотреть перечень таблиц созданной базы данных c помощью оператора SHOW:
Можно отобразить информацию о столбцах всех таблиц c помощью оператора DESCRIBE:
Для просмотра данных, сохраненных в таблице, можно применить оператор SELEKT:
Рекомендуется всегда создавать таблицы прямо в скриптах, которые с ними работают, потому что это делает сценарии автономными. К сожалению многие скрипты так не поступают. Обычно к ним прилагается SQL-файл с командами создания таблиц, который нужно запустить перед установкой скриптов. Этот способ не рекомендуется.
2.2 Вставка записей в таблицу. Функция INSERT
INSERT INTO ИмяТаблицы(ИмяПоля1 ИмяПоля2 ...) VALUES ('зн1', 'зн2',...)
Добавляет в таблицу ИмяТаблицы запись, у которой поля, обозначенные как ИмяПоля1 ИмяПоля2 ...установлены в значения соответственно зн№.
Те поля, которые в этой команде не перечислены, получают "неопределенные" значения.
Неопределенное значение (NULL) -- это не пустая строка, а просто признак, который говорит MySQL, что у данного поля нет никакого значения.
Впрочем, если для неуказанного здесь поля при создании таблицы был задан NOT NULL, то поле получит значение по умолчанию (чаще всего 0 или пустая строка). Значения полей можно заключать и в обычные кавычки, но апострофы тут использовать удобнее; к тому же, так положено по стандарту SQL. При вставке в таблицу бинарных данных (или текстовых, содержащих апострофы и слэши) некоторые символы должны быть "защищены" обратными слэшами, а именно символы \, ' и символ с нулевым кодом (в РНР обозначается как "\х00" или chr(0)).
Существует альтернативный синтаксис для данной команды, специфичный для MySQL:
INSERT INTO ИмяТаблицы SET ИмяПоля1='зн1', ИмяПоля2='зн2', . . .
На практике он часто оказывается удобнее первого.
2.3 Удаление записей. Функция DELETE
DELETE FROM ИмяТаблицы WHERE выражение
Удаляет из таблицы ИмяТаблицы все записи, для которых выполнено выражение. Параметр выражение -- это просто логическое выражение, составленное "почти" по правилам РНР. Вот показательный пример:
DELETE FROM topics WHERE forum_id=10 AND user != "moderator"
В выражении, помимо имен полей, констант и операторов, могут также встречаться простейшие "вычисляемые" части, например: (id < 10+11*234).
Вообще говоря, формат выражения един для всех команд запросов, которые мы встретим в дальнейшем. Например, он же используется и в операции SELECN, и в операции UPDATE.
2.3 Обновление записей. Функция UPDATE
UPDATE ИмяТаблицы SET (ИмяПоля1= 'зн1', ИмяПоля1-- 'зн2', ...) WHERE выражение
В таблице ИмяТаблицы для всех записей, удовлетворяющих выражению выражение, указанные поля устанавливаются в соответствующие значения. При этом остальные поля остаются без изменения. Эта команда часто выполняется, если не требуется обновлять сразу все поля какой-то записи, а нужно затронуть только некоторые.
2. Отправка запроса серверу для извлечения одной стоки из таблицы базы данных. Функция mysql_query
resource mysql_query (string query)
Эта функция применяется для отправки серверу SQL-запросов. Функция возвращает дескриптор запроса в случае успеха и false -- в случае неудачного выполнения запроса.
В листинге показан код, с помощью которого извлекается одна строка из таблицы customers базы данных books:
include "config.php";//Подключение к серверу и выбор базы данныхх
$ath = mysql_query("select * from customers;");
echo "<brимя = ".$author['name']."
";
echo "адрес = ".$author['city']."
";
echo "Error: ".mysql_error () . "
" ;
Результат выполнения запроса для вывода одной строки из таблицы:
2.. Вывод всех строк таблицы базы данных в виде ассоциативного массива. Функция mysql_fetch_array
array mysql_fetch_array (resource result)
Эта функция возвращает значения полей в виде ассоциативного массива. В качестве аргумента принимает дескриптор запроса, возвращаемый функцией mysql_query.
В листинге показано, как с помощью этой функции можно вывести все строки таблицы customers:базы данных books
include "config.php";//Подключение к серверу и выбор базы данных
$ath = mysql_query("select * from customers;");
//Так как запрос возвращает несколько строк, применяем цикл
while($author = mysql_fetch_array($ath))
".$author['city']."
echo "Error: " .mysql_error () . "
";
Результат выполнения запроса для вывода всех строк из таблицы:
2.. Доступ к отдельному полю записи. Функция mysql_result
mixed mysql_result (resource result, int row)
С помощью этой функции можно получить доступ к отдельному полю записи. Допустим, нам нужно вывести имя автора, которое первым найдется в базе данных. Сделать это можно следующим образом:
include "config.php";//Подключение к серверу и выбор базы данных
$ath = mysql_query("select name from customers;");
echo "
Error: " .mysql_error () . "
";
2.. Возвращение поля записи в виде объекта. Функция mysql_fetch_object
object mysql_fetch_object (resource result)
Эта функция возвращает поля записи данных в виде объекта.
В листинге приведен пример, в котором с помощью этой функции из таблицы customers выводятся имя, и адрес авторов:
include "config.php";//Подключение к серверу и выбор базы данных
$ath = mysql_query("select * from customers;");
while($row = mysql_fetch_object($ath))
echo "
адрес: ".$row-> city."
";
echo "Error: ".mysql_error () . "
";
2.. Возвращение массива, в котором содержится значение поля. Функция mysql_fetch_row
array mysql_fetch_row (resource result)
В отличие от функции mysql_fetch_object, эта функция возвращает не объект, а массив, в котором содержатся значения полей:
include "config.php";//Подключение к серверу и выбор базы данных
$ath = mysql_query("select * from customers;");
while($row = mysql_fetch_row($ath))
echo "
Error: " .mysql_error () . "
";
2.. Пример комплексного использования информационных функций
"
echo "Таблица содержит следующие поля:<ВR>";
// "Проходимся" по всем полям и выводим информацию о них.
$type = mysql_field_type($result, $i);
$name = mysql_field_name($result, $i);
$len = mysql_field_len($result, $i);
$flags.= mysql_field_flags($result, $i) ;
echo "$name $type($len) $flags\n";
Запросы, отправляемые серверу MySQL, представляют собой обыкновенные строки РНР:
mysql_query("INSERT INTO table SET name='$name'");
В $name может храниться строка, содержащая апострофы.
Рассмотрим, какой запрос придет серверу MySQL, если $name равно "cat's":
Эта команда синтаксически некорректна и породит ошибку во время выполнения.
mysql_query("DELETE FROM table WHERE name='$name'");
Если параметр $name приходит из формы, и злоумышленник указал в нем следующую строку: "!' or 1=1 or '!", то после подстановки получится такой запрос к базе данных:
DELETE FROM table- WHERE name=' !' OR 1=1 OR ' !'
Этот запрос удалит все записи из таблицы table, потому что выражение SQL 1=1 всегда истинно.
Рассмотрим два способы защиты от подобных ошибок или действий злоумышленника:
Прежде чем передавать значения переменных формы в SQL-запросы, необходимо специальным образом экранировать в них некоторые символы (в частности, апостроф), например, поставить перед ними обратный слэш. Для вставки предназначена функция:
string mysql_escape_string(string $str)
Функция похожа на другую функцию addslashes(), однако она добавляет слэши перед более полным набором специальных символов. Практика показывает, что для текстовых данных можно применять и функцию addslashes() вместо mysql_escape_string(). Во многих скриптах так и делается.
По стандарту MySQL экранированию подвергаются символы, которые в РНР записываются так: "\х00", "\n", "\г", "\\", ""', "" и "\х1А".
В это число входит символ с нулевым ASCII-кодом, а поэтому mysql_escape_string() допустимо применять не только для текстовых, но также и для бинарных данных. Можно, например, считать в переменную GIF-изображение (функция file_get_contents ()), а затем вставить его в базу данных, предварительно проэкранировав все спецсимволы. При извлечении картинка окажется в том же виде, в котором она была изначально.
Экранирование символов это лишь способ записи корректных SQL-выражений, не более того. С данными ничего не происходит, и они хранятся в базе без дополнительных слэшей -- так, как выглядели изначально, еще до экранирования.
С использованием mysql_escape_string()код предыдущего запроса выглядит так:
"DELETE FROM table WHERE name='".mysql_escape_string($name)."'" );
3.2 Шаблоны запросов и placeholders
Вместо явного экранирования и вставки переменных в запрос на их место помещают специальные маркеры (placeholders, "хранители места"), обычно выглядящие как ?.
Те же значения, которые будут подставлены вместо них, передаются отдельно, дополнительными параметрами.
С использованием гипотетической функции mysql_qwo, код которой будет представлен ниже, предыдущий запрос может быть переписан так:
mysql_qw ('DELETE FROM table WHERE name=?', $name);
Запрос стал короче и лучше защищен: теперь мы уже при написании кода не сможем случайно пропустить вызов функции mysql_escape_string() и, таким образом, попасться на уловку хакера. Все преобразования происходят автоматически, внутри функции.
В листинге lib_mysql_qw.php содержится простейшая реализация функции mysql_qw() (qw -- от англ. query wrapper, "обертка для запроса").
Имеется также библиотека lib/Placeholder.php, обеспечивающая значительно более мощную поддержку языка placeholders: http://dklab.ru/chicken/30.html.
В большинстве ситуаций возможностей, предоставляемых функцией mysql_qw (), оказывается достаточно.
";
echo mysql_make_qw('DELETE FROM people WHERE name=? OR ?', $name)."";
// Вот как выглядит выполнение запроса.
mysql_qw('DELETE FROM people WHERE name=? OR ?', $name)
В результате работы скрипта будет сгенерирована следующая страница:
DELETE FROM people WHERE name='\' OR \'1'
DELETE FROM people WHERE name=' \ ' OR \ ' 1' OR id=UNKNOWN_PLACEHOLDER_l
Unknown column 'UNKNOWN_PLACEHOLDER_1' in 'where clause1
Перед апострофами в данных появились слэши, a placeholder, которому "не хватило" аргументов функции, оказался замененным на строчку UNKNOWN_PLACEHOLDER_l.
Теперь любая попытка выполнения такого запроса заранее обречена на неудачу (о чем говорит последнее диагностическое сообщение, сгенерированное вызовом die()), что является важным подспорьем при отладке сценариев.
Рассмотрим некоторые приемы, которые удобно применять в сценариях, требующих обращений к базе данных на примере гостевой книги. С книгой можно проделывать следующие два действия:
? добавлять новую запись; при этом она помечается текущей датой и помещается в таблицу базы данных;
? удалять некоторую запись по ее идентификатору.
Скрипт упрощен: удалять записи позволяется любому пользователю, а не только администратору сайта. При необходимости ограничить права легко: достаточно вставить в скрипт соответствующие проверки.
Работа с базой данных MySQL средствами PHP лекция. Программирование, компьютеры и кибернетика.
Дипломная работа по теме Проблемы биологической этики в моральном сознании старших школьников
Реферат: Этапы развития этической мысли и современный взгляд
Преступность Несовершеннолетних Дипломная Работа
Курсовая работа: Расчетные схемы механической части электропривода
Зеленые Елочки Осенью Сочинение 5 Класс
Реферат: Неравный брак. Скачать бесплатно и без регистрации
Сочинения На Муму 5 Класс
Россия Во Время Смуты Реферат
Реферат: Психология потребителя
Органические Включая Симптоматические Психические Расстройства Реферат
Курсовая Работа На Тему Проектирование Новой Участковой Узловой Железнодорожной Станции
Дипломная работа по теме Маркетинговое исследование покупательского поведения
Курсовая Работа Менеджмент В Туризме И Гостиничном Сервисе
Реферат: Same Race Different Faces Essay Research Paper
Лишение Свободы И Его Виды Реферат
Контрольная работа: по Инновационному менеджменту 2
Курсовая работа по теме Основные инструменты в системе стратегического маркетинга
Эмоциональный Мир Дошкольника Реферат
Практическое задание по теме Физические характеристики загрязнения воздуха
Реферат: Глобализация: миф или реальность . Скачать бесплатно и без регистрации
Борис Николаевич Ельцин - первый президент России - История и исторические личности презентация
Основные положения правового статуса судей - Государство и право курсовая работа
Земельные ресурсы Дании - География и экономическая география презентация