5種易犯的PHP數據庫錯誤

 5種易犯的PHP數據庫錯誤---包括數據庫模式設計、數據庫訪問和使用數據庫的業務邏輯代碼---以及它們的解決方案。

　　如果只有一種 方式使用數據庫是正確的…… 

　　您可以用很多的方式創建數據庫設計、數據庫訪問和基於數據庫的 PHP 業務邏輯代碼，但最終一般以錯誤告終。本文說明了數據庫設計和訪問數據庫的 PHP 代碼中出現的五個常見問題，以及在遇到這些問題時如何修復它們。

　　問題 1：直接使用 MySQL

　　一個常見問題是較老的 PHP 代碼直接使用 mysql_ 函數來訪問數據庫。清單 1 展示了如何直接訪問數據庫。

　　清單 1. access/get.php

＜?php
function get_user_id( $name )
{
　$db = mysql_connect( ’localhost’, ’root’, ’passWord’ );
　mysql_select_db( ’users’ );

　$res = mysql_query( "SELECT id FROM users WHERE login=’".$name."’" );
　while( $row = mysql_fetch_array( $res ) ) { $id = $row[0]; }

　return $id;
}

var_dump( get_user_id( ’jack’ ) );
?＞ 

　　注意使用了 mysql_connect 函數來訪問數據庫。還要注意查詢，其中使用字符串連接來向查詢添加 $name 參數。

　　該技術有兩個很好的替代方案：PEAR DB 模塊和 PHP Data Objects (PDO) 類。兩者都從特定數據庫選擇提供抽象。因此，您的代碼無需太多調整就可以在 IBM? DB2?、MySQL、PostgreSQL 或者您想要連接到的任何其他數據庫上運行。

　　使用 PEAR DB 模塊和 PDO 抽象層的另一個價值在於您可以在 SQL 語句中使用 ? 操作符。這樣做可使 SQL 更加易於維護，且可使您的應用程序免受 SQL 注入攻擊。

　　使用 PEAR DB 的替代代碼如下所示。

　　清單 2. Access/get_good.php

＜?php
require_once("DB.php");

function get_user_id( $name )
{
　$dsn = ’mysql://root:password@localhost/users’;
　$db =& DB::Connect( $dsn, array() );
　if (PEAR::isError($db)) { die($db-＞getMessage()); }

　$res = $db-＞query( ’SELECT id FROM users WHERE login=?’,array( $name ) );
　$id = null;
　while( $res-＞fetchInto( $row ) ) { $id = $row[0]; }

　return $id;
}

var_dump( get_user_id( ’jack’ ) );
?＞ 

　　注意，所有直接用到 MySQL 的地方都消除了，只有 $dsn 中的數據庫連接字符串除外。此外，我們通過 ? 操作符在 SQL 中使用 $name 變量。然後，查詢的數據通過 query() 方法末尾的 array 被發送進來。

　　問題 2：不使用自動增量功能

　　與大多數現代數據庫一樣，MySQL 能夠在每記錄的基礎上創建自動增量惟一標識符。除此之外，我們仍然會看到這樣的代碼，即首先運行一個 SELECT 語句來找到最大的 id，然後將該 id 增 1，並找到一個新記錄。清單 3 展示了一個示例壞模式。

　　清單 3. Badid.sql

DROP TABLE IF EXISTS users;
CREATE TABLE users (
id MEDIUMINT,
login TEXT,
password TEXT
);

INSERT INTO users VALUES ( 1, ’jack’, ’pass’ );
INSERT INTO users VALUES ( 2, ’joan’, ’pass’ );
INSERT INTO users VALUES ( 1, ’jane’, ’pass’ ); 

　　這裡的 id 字段被簡單地指定為整數。所以，盡管它應該是惟一的，我們還是可以添加任何值，如 CREATE 語句後面的幾個 INSERT 語句中所示。清單 4 展示了將用戶添加到這種類型的模式的 PHP 代碼。

　　清單 4. Add_user.php

＜?php
require_once("DB.php");

function add_user( $name, $pass )
{
　$rows = array();

　$dsn = ’mysql://root:password@localhost/bad_badid’;
　$db =& DB::Connect( $dsn, array() );
　if (PEAR::isError($db)) { die($db-＞getMessage()); }

　$res = $db-＞query( "SELECT max(id) FROM users" );
　$id = null;
　while( $res-＞fetchInto( $row ) ) { $id = $row[0]; }

　$id += 1;

　$sth = $db-＞PRepare( "INSERT INTO users VALUES(?,?,?)" );
　$db-＞execute( $sth, array( $id, $name, $pass ) );

　return $id;
}

$id = add_user( ’jerry’, ’pass’ );

var_dump( $id );
?＞ 

　　add_user.php 中的代碼首先執行一個查詢以找到 id 的最大值。然後文件以 id 值加 1 運行一個 INSERT 語句。該代碼在負載很重的服務器上會在競態條件中失敗。另外，它也效率低下。

　　那麼替代方案是什麼呢？使用 MySQL 中的自動增量特性來自動地為每個插入創建惟一的 ID。更新後的模式如下所示。

　　清單 5. Goodid.php

DROP TABLE IF EXISTS users;
CREATE TABLE users (
　id MEDIUMINT NOT NULL AUTO_INCREMENT,
　login TEXT NOT NULL,
　password TEXT NOT NULL,
　PRIMARY KEY( id )
);

INSERT INTO users VALUES ( null, ’jack’, ’pass’ );
INSERT INTO users VALUES ( null, ’joan’, ’pass’ );
INSERT INTO users VALUES ( null, ’jane’, ’pass’ ); 

　　我們添加了 NOT NULL 標志來指示字段必須不能為空。我們還添加了 AUTO_INCREMENT 標志來指示字段是自動增量的，添加 PRIMARY KEY 標志來指示那個字段是一個 id。這些更改加快了速度。清單 6 展示了更新後的 PHP 代碼，即將用戶插入表中。

　　清單 6. Add_user_good.php

＜?php
require_once("DB.php");

function add_user( $name, $pass )
{
　$dsn = ’mysql://root:password@localhost/good_genid’;
　$db =& DB::Connect( $dsn, array() );
　if (PEAR::isError($db)) { die($db-＞getMessage()); }

　$sth = $db-＞prepare( "INSERT INTO users VALUES(null,?,?)" );
　$db-＞execute( $sth, array( $name, $pass ) );

　$res = $db-＞query( "SELECT last_insert_id()" );
　$id = null;
　while( $res-＞fetchInto( $row ) )