筋斗云接口编程 / 常用操作(三)
2017-03-02 08:38
232 查看
数据库操作
数据库连接一开始是通过tool/init.php在线配置的,或直接手改文件 php/conf.user.php 文件的相关配置如:putenv("P_DB=localhost/jdcloud"); putenv("P_DBCRED=test:test123");
如果想稍稍隐蔽一下登录账号,也可以用base64编码,如:
putenv("P_DBCRED=ZGVtbzpkZW1vMTIz");
数据库查询的常用函数是
queryOne和
queryAll,用来执行SELECT查询。
queryOne只返回首行数据,特别地,如果返回行中只有一列,则直接返回首行首列值:
// 查到数据时,返回首行 [$id, $dscr],例如 [100, "用户100"] // 没有查到数据时,返回 false $rv = queryOne("SELECT id, dscr FROM Ordr WHERE userId={$uid}"); list($id,$dscr) = $rv; // 查到数据时,由于SELECT语句只有一个字段id,因而返回值即是$id,例如返回100 $rv = queryOne("SELECT id FROM Ordr WHERE userId={$uid}"); $id = $rv;
如果字段较多,常加参数
PDO::FETCH_ASSOC要求返回关联数组以增加可读性:
// 操作成功时,返回关联数组,例如 ["id" => 100, "dscr" => "用户100"] $rv = queryOne("SELECT id, dscr FROM Ordr WHERE userId={$uid}", PDO::FETCH_ASSOC);
如果要查询所有行的数据,可以用
queryAll函数:
// 有数据时,返回二维数组 [[$id, $dscr], ...] // 没有数据时,返回空数组 [],而不是false $rv = queryAll("SELECT id, dscr FROM Ordr WHERE userId={$uid}");
执行非查询语句可以用包装函数
execOne如:
execOne("DELETE ..."); execOne("UPDATE ..."); execOne("INSERT INTO ...");
对于insert语句,可以取到执行后得到的新id值:
$newId = execOne("INSERT INTO ...", true);
[防备SQL注入]
要特别注意的是,所有外部传入的字符串参数都不应直接用来拼接SQL语句,
下面登录接口的实现就包含一个典型的SQL注入漏洞:
$uname = mparam("uname"); $pwd = mparam("pwd"); $id = queryOne("SELECT id FROM User WHERE uname='$uname' AND pwd='$pwd'"); if ($id === false) throw new MyException(E_AUTHFAIL, "bad uname/pwd", "用户名或密码错误"); // 登录成功 $_SESSION["uid"] = $id;
如果黑客精心准备了参数
uname=a&pwd=a' or 1=1,这样SQL语句将是
SELECT id FROM User WHERE uname='a' AND pwd='a' or 1=1
总可以查询出结果,于是必能登录成功。
修复方式很简单,可以用Q函数进行转义:
$sql = sprintf("SELECT id FROM User WHERE uname=%s AND pwd=%s", Q($uname), Q($pwd)); $id = queryOne($sql);
因为很常用,所以使用了一个超级简单的名字叫Q(quote),它一般的实现就是:
global $DBH; $DBH->quote($str);
[SQL编译优化]
全局变量
$DBH是默认的数据库连接对象,即PDO对象,在程序中也可以直接使用,比如要插入大量数据,为优化性能,可以先对SQL语句进行编译(prepare)后再执行:
global $DBH; $tm = date(FMT_DT); $sth = $DBH->prepare("INSERT INTO ApiLog (tm, addr) VALUES ('$tm', ?)"); foreach ($addrList as $ad 4000 dr) { $sth->execute([$addr]); }
上面用到的常量FMT_DT是框架定义的标准日期格式,常用于格式化日期字段传到数据库。
[支持数据库事务]
假如有一个用户用帐户余额给订单付款的接口,先更新订单状态,再更新用户帐户余额:
function api_payOrder() { execOne("UPDATE Ordr SET status='已付款'..."); ... execOne("UPDATE User SET balance=..."); ... }
在更新之后,假如因故抛出了异常返回,订单状态或用户余额会不会状态错误?
有经验的开发者知道应使用数据库事务,让多条数据库查询要么全部执行(事务提交/commit),要么全部取消掉(事务回滚/rollback)。
而筋斗云已经帮我们自动使用了事务确保数据一致性。
筋斗云一次接口调用中的所有数据库查询都在一个事务中。 开发者一般不必自行使用事务,除非为了优化并发和数据库锁。
相关文章推荐
- 筋斗云接口编程 / 常用操作(二)
- 图像编程的若干常用操作(旋转,透明等)
- ASP编程中连接数据库和数据库操作的常用代码
- 对tinyxml操作的常用接口封装——CUDxml
- Windows 文件、目录操作编程常用API
- Windows 文件、目录操作编程常用API
- c# socket 编程——对常用的网络操作进行封装
- ACM编程技巧--常用字符操作函数
- 网络编程常用接口的内核实现----sys_listen()
- 网络编程常用接口的内核实现----sys_bind()
- 笔试面试常考数据结构-单链表常用操作编程实现
- ASP编程中连接数据库和数据库操作的常用代码
- Windows 文件、目录操作编程 常用API
- DOM应用编程接口,操作HTML文档
- shell编程基础(3.常用概念命令与操作
- IIS 常用操作编程实现(VB6)
- VC++常用数据类型及其操作详解及Unicode编程
- Jbpm 常用基础方法 相关编程接口
- iOS中时间/日期处理NSDate的常用接口操作
- 一步步学Mybatis-以接口操作的方式编程(2)