筋斗云接口编程 / 常用操作（三）

数据库操作

数据库连接一开始是通过tool/init.php在线配置的，或直接手改文件 php/conf.user.php 文件的相关配置如：

putenv("P_DB=localhost/jdcloud");
putenv("P_DBCRED=test:test123");

如果想稍稍隐蔽一下登录账号，也可以用base64编码，如：

putenv("P_DBCRED=ZGVtbzpkZW1vMTIz");

数据库查询的常用函数是

queryOne

和

queryAll

，用来执行SELECT查询。

queryOne只返回首行数据，特别地，如果返回行中只有一列，则直接返回首行首列值：

// 查到数据时，返回首行 [$id, $dscr]，例如 [100, "用户100"]
// 没有查到数据时，返回 false
$rv = queryOne("SELECT id, dscr FROM Ordr WHERE userId={$uid}");
list($id,$dscr) = $rv;

// 查到数据时，由于SELECT语句只有一个字段id，因而返回值即是$id，例如返回100
$rv = queryOne("SELECT id FROM Ordr WHERE userId={$uid}");
$id = $rv;

如果字段较多，常加参数

PDO::FETCH_ASSOC

要求返回关联数组以增加可读性：

// 操作成功时，返回关联数组，例如 ["id" => 100, "dscr" => "用户100"]
$rv = queryOne("SELECT id, dscr FROM Ordr WHERE userId={$uid}", PDO::FETCH_ASSOC);

如果要查询所有行的数据，可以用

queryAll

函数：

// 有数据时，返回二维数组 [[$id, $dscr], ...]
// 没有数据时，返回空数组 []，而不是false
$rv = queryAll("SELECT id, dscr FROM Ordr WHERE userId={$uid}");

执行非查询语句可以用包装函数

execOne

如：

execOne("DELETE ...");
execOne("UPDATE ...");
execOne("INSERT INTO ...");

对于insert语句，可以取到执行后得到的新id值：

$newId = execOne("INSERT INTO ...", true);

[防备SQL注入]

要特别注意的是，所有外部传入的字符串参数都不应直接用来拼接SQL语句，

下面登录接口的实现就包含一个典型的SQL注入漏洞：

$uname = mparam("uname");
$pwd = mparam("pwd");
$id = queryOne("SELECT id FROM User WHERE uname='$uname' AND pwd='$pwd'");
if ($id === false)
throw new MyException(E_AUTHFAIL, "bad uname/pwd", "用户名或密码错误");
// 登录成功
$_SESSION["uid"] = $id;

如果黑客精心准备了参数

uname=a&pwd=a' or 1=1

，这样SQL语句将是

SELECT id FROM User WHERE uname='a' AND pwd='a' or 1=1

总可以查询出结果，于是必能登录成功。

修复方式很简单，可以用Q函数进行转义：

$sql = sprintf("SELECT id FROM User WHERE uname=%s AND pwd=%s", Q($uname), Q($pwd));
$id = queryOne($sql);

因为很常用，所以使用了一个超级简单的名字叫Q(quote)，它一般的实现就是：

global $DBH;
$DBH->quote($str);

[SQL编译优化]

全局变量

$DBH

是默认的数据库连接对象，即PDO对象，在程序中也可以直接使用，比如要插入大量数据，为优化性能，可以先对SQL语句进行编译(prepare)后再执行：

global $DBH;
$tm = date(FMT_DT);
$sth = $DBH->prepare("INSERT INTO ApiLog (tm, addr) VALUES ('$tm', ?)");
foreach ($addrList as $ad
4000
dr) {
$sth->execute([$addr]);
}

上面用到的常量FMT_DT是框架定义的标准日期格式，常用于格式化日期字段传到数据库。

[支持数据库事务]

假如有一个用户用帐户余额给订单付款的接口，先更新订单状态，再更新用户帐户余额：

function api_payOrder()
{
execOne("UPDATE Ordr SET status='已付款'...");
...
execOne("UPDATE User SET balance=...");
...
}

在更新之后，假如因故抛出了异常返回，订单状态或用户余额会不会状态错误？

有经验的开发者知道应使用数据库事务，让多条数据库查询要么全部执行(事务提交/commit)，要么全部取消掉(事务回滚/rollback)。

而筋斗云已经帮我们自动使用了事务确保数据一致性。

筋斗云一次接口调用中的所有数据库查询都在一个事务中。 开发者一般不必自行使用事务，除非为了优化并发和数据库锁。