Главная » Языки программирования

METANIT.COM

На чтение 8 мин
Содержание
  1. Добавление информации mysql php
  2. Множественное добавление
  3. Добавление данных из формы HTML
  4. Create a new User
  5. Параметризация запросов
  6. Create a new User
  7. Передача значений параметрам через массив по имени
  8. Передача значений параметрам через массив по позиции
  9. Добавление информации mysql php
  10. Объектно-ориентированный подход
  11. Процедурный подход
  12. Добавление данных из формы HTML
  13. Добавление пользователя
  14. Объектно-ориентированный подход
  15. Процедурный подход

Добавление информации mysql php

Для добавления данных в БД MySQL применяется sql-команда INSERT , которая имеет следующий синтаксис:

INSERT INTO название_таблицы (столбец1, столбец2, столбецN) VALUES ( значение1, значение2, значениеN)

Данная команда также выполняется методом exec() объекта PDO. Стоит отметить, что для sql-команд INSERT , UPDATE и DELETE метод exec() возвращает количество затронутных командой строк (добавленных, измененных или удаленных). Таким образом, мы можем узнать сколько строк было добавлено.

Сначала рассмотрим простейшее добавление одного объекта в БД. Для примера возьмем созданную в прошлой теме базу данных «testdb1» и созданную в ней таблицу Users со следующим определением:

CREATE TABLE Users (id INTEGER AUTO_INCREMENT PRIMARY KEY, name VARCHAR(30), age INTEGER)

И для добавления определим следующий скрипт PHP:

exec($sql); echo "В таблицу Users добавлено строк: $affectedRowsNumber"; > catch (PDOException $e) < echo "Database error: " . $e->getMessage(); > ?>

Команда на добавление здесь выглядит следующим образом:

"INSERT INTO Users (name, age) VALUES ('Tom', 37)"

То есть в столбец name добавляется строка «Tom», а в столбец age — число 37. Для столбца id не добавляется никакого значения, потому что при создании таблицы для него указан параметр AUTO_INCREMENT — то есть значение этого столбца у каждой добавляемой строки будет автоматически увеличиваеться по сравнению с предыдущей на единицу.

При добавлении мы получаем количество добавленных строк в переменую $affectedRowsNumber и затем выводим ее значение в браузере. Поэтому при успешном добавлении мы увидим

Множественное добавление

Также мы можем добавить сразу несколько объектов:

exec($sql); echo "В таблицу Users добавлено строк: $affectedRowsNumber"; > catch (PDOException $e) < echo "Database error: " . $e->getMessage(); > ?>

Здесь в таблицу добавляется три строки. Соответственно в браузере мы увидим:

Добавление данных из формы HTML

В большинстве случаев добавляемые данные будут приходить из вне, например, присылаться в запросе пользователя. Рассмотрим добавление данных, отправленных из формы HTML. Для этого определим следующий скрипт:

     exec($sql); // если добавлена как минимум одна строка if($affectedRowsNumber > 0 ) < echo "Data successfully added: name=$username age= $userage"; >> catch (PDOException $e) < echo "Database error: " . $e->getMessage(); > > ?> 
Create a new User
 
User Name: 
 
User Age:

Здесь мы проверяем, пришли ли с сервера данные в POST-запросе, которые имеют ключи «username» и «userage»:

if (isset($_POST["username"]) && isset($_POST["userage"])) 

Если эти данные имеются, то есть был отправлен post-запрос с данными на добавление, то мы получаем эти данные в переменные и добавляем их в бд.


$sql = "INSERT INTO Users (name, age) VALUES ('$username', $userage)";
 
Если была добавлена строка, то есть метод exec() возвратил число больше нуля, то выводим пользователю соответствующее сообщение.
 
После кода php собственно определена форма на добавление данных с помощью post-запроса.
 
Запустим скрипт. Введем в форму данные и нажмем на кнопку:
 
 Insert data in PHP and PDO in MySQL
 
И данные будут добавлены. Вроде все хорошо. Однако здесь есть большой недостаток.
 
Параметризация запросов
 
Недостаток выше приведенного скрипа заключается в том, что мы никак не констролируем присылаемые данные и сохраняем их в базу данных как есть. Что несет потенциальную угрозу безопасности, особенно при добавлении строк типа "; DELETE FROM `Users`; -- . Кроме того, в ряде случае может быть проблематично добавить даже безопасные данные, например, строку, которая содержит одинарную кавычку, типа "Tom O'Brian".
 
Для решения этих проблем PDO предлагает параметризацию запросов с помощью применения заранее подготовленных выражений - prepared statement . Выражения prepared statement вместо жестко установленных значений или переменных принимают параметры, которые не привязаны к конкретным значениям. Эти выражения prepared statement посылаются серверу базы данных до того, как станут известны используемые данные, что позволяет серверу приготовить их к выполнению, но при этом они не выполняются. А когда пользователь присылает данные - параметры заменяются пришедшими данными, и выражение prepared statement выполняется.
 
Перепишем предыдущий пример с использованием параметров:
 
     prepare($sql); // привязываем параметры к значениям $stmt->bindValue(":username", $_POST["username"]); $stmt->bindValue(":userage", $_POST["userage"]); // выполняем prepared statement $affectedRowsNumber = $stmt->execute(); // если добавлена как минимум одна строка if($affectedRowsNumber > 0 ) < echo "Data successfully added: name=" . $_POST["username"] ." age= " . $_POST["userage"]; >> catch (PDOException $e) < echo "Database error: " . $e->getMessage(); > > ?> 
Create a new User
 
User Name: 
 
User Age: 
   
 
В SQL-выражении теперь применяются параметры:
 
$sql = "INSERT INTO Users (name, age) VALUES (:username, :userage)";
 
:username и :userage - это названия параметров. Причем они начинаются с символа двоеточия :.
 
Само выражение prepared statement создается с помощью метода prepare() объекта PDO, в который передается выполняемая sql-команда:
 
Фактически здесь создается объект PDOStatement , который сохраняется в переменную $stmt .
 
Чтобы связать параметр с конкретным значением у объекта PDOStatement вызывается метод bindValue() . Первый параметр этого метода - собственно параметр из sql-команды, а второй параметр - передаваемое ему значение.
 
$stmt->bindValue(":username", $_POST["username"]);
 
Так, в данном случае параметр :username привязывается к значению из $_POST["username"] 
Причем привязка может производиться и к конкретным значениям и обычным переменным, например:
 
$user = "Tom" // привязка к переменной $user $stmt->bindValue(":username", $user);
 
Для выполнения sql-выражения у объекта PDOStatement вызывается метод execute() , который для команды INSERT возвращает число добавленных строк.
 
Передача значений параметрам через массив по имени
 
В примере выше для параметризации применялся метод bindValue() :
 
$sql = "INSERT INTO Users (name, age) VALUES (:username, :userage)"; $stmt = $conn->prepare($sql); // привязываем параметры к значениям $stmt->bindValue(":username", $_POST["username"]); $stmt->bindValue(":userage", $_POST["userage"]); // выполняем prepared statement $affectedRowsNumber = $stmt->execute();
 
Но есть и другой способ привязки параметров к значениям - мы можем передать в метод execute() параметры и их значения в виде ассоциативного массива:
 
$sql = "INSERT INTO Users (name, age) VALUES (:username, :userage)"; $stmt = $conn->prepare($sql); // через массив передаем значения параметрам по имени $rowsNumber = $stmt->execute(array(":username" => $_POST["username"], ":userage" => $_POST["userage"]));
 
В этом случае названия параметров являются ключами.
 
Передача значений параметрам через массив по позиции
 
Третий способ привязки значений к параметрам представляет передачу значений по позиции:
 
$sql = "INSERT INTO Users (name, age) VALUES (?, ?)"; $stmt = $conn->prepare($sql); // через массив передаем значения параметрам по позиции $rowsNumber = $stmt->execute(array($_POST["username"], $_POST["userage"]));
 
В этом случае вместо названий параметров применяются знаки вопроса ? . Для передачи этим параметрам значений в метод execute() также передается массив. Первое значение массива привязывается к первому параметру (условно добавляется вместо первого знака вопроса), второе значение привязывается ко второму параметру и т.д.
 
Источник
 
Добавление информации mysql php
 
В прошлой теме мы добавили в базу данных таблицу Users с тремя столбцами id, name, age со следующим определением:
 
CREATE TABLE Users (id INTEGER AUTO_INCREMENT PRIMARY KEY, name VARCHAR(30), age INTEGER)
 
Теперь добавим в нее данные. Для добавления данных в MySQL применяется команда INSERT :
 
INSERT INTO название_таблицы (столбец1, столбец2, столбецN) VALUES ( значение1, значение2, значениеN)
 
Объектно-ориентированный подход
 
connect_error)< die("Ошибка: " . $conn->connect_error); > $sql = "INSERT INTO Users (name, age) VALUES ('Tom', 37)"; if($conn->query($sql)) < echo "Данные успешно добавлены"; >else< echo "Ошибка: " . $conn->error; > $conn->close(); ?>
 
connect_error)< die("Ошибка: " . $conn->connect_error); > $sql = "INSERT INTO Users (name, age) VALUES ('Sam', 41), ('Bob', 29), ('Alice', 32)"; if($conn->query($sql)) < echo "Данные успешно добавлены"; >else< echo "Ошибка: " . $conn->error; > $conn->close(); ?>
 
Процедурный подход
 
 $sql = "INSERT INTO Users (name, age) VALUES ('Tom', 37)"; if(mysqli_query($conn, $sql)) < echo "Данные успешно добавлены"; >else < echo "Ошибка: " . mysqli_error($conn); >mysqli_close($conn); ?>
 
 $sql = "INSERT INTO Users (name, age) VALUES ('Sam', 41), ('Bob', 29), ('Alice', 32)"; if(mysqli_query($conn, $sql)) < echo "Данные успешно добавлены"; >else < echo "Ошибка: " . mysqli_error($conn); >mysqli_close($conn); ?>
 
Добавление данных из формы HTML
 
В большинстве случаев добавляемые данные будут приходить из вне, например, присылаться в запросе пользователя. Рассмотрим добавление данных, отправленных из формы HTML. Для этого определим веб-страницу form.html , на которой определим следующий код:
 
     
Добавление пользователя
 
Имя: 
 
Возраст: 
   
 
Здесь определены два поля ввода. И по нажатию на кнопку их данные в запросе POST будут уходить скрипту create.php . Теперь определим сам скрипт create.php .
 
Объектно-ориентированный подход
 
connect_error)< die("Ошибка: " . $conn->connect_error); > $name = $conn->real_escape_string($_POST["username"]); $age = $conn->real_escape_string($_POST["userage"]); $sql = "INSERT INTO Users (name, age) VALUES ('$name', $age)"; if($conn->query($sql)) < echo "Данные успешно добавлены"; >else< echo "Ошибка: " . $conn->error; > $conn->close(); > ?>
 
Здесь мы проверяем, пришли ли с сервера данные в POST-запросе, которые имеют ключи "username" и "userage":
 
if (isset($_POST["username"]) && isset($_POST["userage"])) 

Если эти данные имеются, то есть был отправлен post-запрос с данными на добавление, то мы получаем эти данные в переменные и добавляем их в бд. Но перед добавлением к этим данным применяется метод $conn->real_escape_string() , которая принимает сохраняемое значение и экранирует в нем спецсимволы, что позволяет защитить от SQL-инъекций.


В итоге после ввода данных и нажатия на кнопку данные в запросе POST уйдут скрипту create.php , который сохранит их в базу данных.


 Добавление данных в MySQL в PHP


Процедурный подход


 $name = mysqli_real_escape_string($conn, $_POST["username"]); $age = mysqli_real_escape_string($conn, $_POST["userage"]); $sql = "INSERT INTO Users (name, age) VALUES ('$name', $age)"; if(mysqli_query($conn, $sql)) < echo "Данные успешно добавлены"; >else < echo "Ошибка: " . mysqli_error($conn); >mysqli_close($conn); > ?>
 
Здесь применяется функция mysqli_real_escape_string() . Она служит для экранизации символов в строке, которая потом используется в запросе SQL. В качестве параметров она принимает объект подключения и строку, которую надо экранировать.
 
Источник
 
Читайте также:  Which browser support javascript
Оцените статью
© 2023 Программирование