php中使用pdo查询主要依赖query()和prepare()配合execute()。1. query()适用于无参数的简单查询,直接返回结果集;2. prepare()与execute()结合用于带用户输入的场景,通过占位符防止sql注入;3. 使用fetch()、fetchAll()、fetchColumn()等方法获取数据。涉及变量时应优先使用预处理语句以确保安全。
PHP中使用PDO运行查询主要依赖于PDO和PDOStatement对象提供的方法。最常用的方式是使用query()和prepare()配合execute()来执行SQL查询,具体选择取决于是否涉及用户输入。
1. 使用 query() 方法(适合简单、无参数的查询)
当sql语句不包含外部输入时,可以直接使用query()方法执行查询,并返回一个可遍历的结果集。
try { $pdo = new PDO("mysql:host=localhost;dbname=testdb", "username", "password"); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); <pre class='brush:php;toolbar:false;'>$result = $pdo->query("SELECT id, name FROM users"); foreach ($result as $row) { echo $row['id'] . " - " . $row['name'] . "<br>"; }} catch (PDOException $e) { echo “查询失败: ” . $e->getMessage(); }
注意:该方法不适合带有动态参数的查询,容易引发sql注入风险。
2. 使用 prepare() 和 execute()(推荐用于带参数的查询)
对于包含用户输入的查询,应使用预处理语句(Prepared Statements),通过占位符绑定参数,提高安全性。
立即学习“PHP免费学习笔记(深入)”;
采用 php+mysql 数据库方式运行的强大网上商店系统,执行效率高速度快,支持多语言,模板和代码分离,轻松创建属于自己的个性化用户界面 v3.5更新: 1).进一步静态化了活动商品. 2).提供了一些重要UFT-8转换文件 3).修复了除了网银在线支付其它支付显示错误的问题. 4).修改了LOGO广告管理,增加LOGO链接后主页LOGO路径错误的问题 5).修改了公告无法发布的问题,可能是打压
0 
try { $pdo = new PDO("mysql:host=localhost;dbname=testdb", "username", "password"); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); <pre class='brush:php;toolbar:false;'>$stmt = $pdo->prepare("SELECT id, name FROM users WHERE age > ?"); $stmt->execute([25]); while ($row = $stmt->fetch()) { echo $row['id'] . " - " . $row['name'] . "<br>"; }} catch (PDOException $e) { echo “查询失败: ” . $e->getMessage(); }
也可以使用命名占位符:
$stmt = $pdo->prepare("SELECT id, name FROM users WHERE name LIKE :keyword"); $stmt->execute([':keyword' => '%john%']); <p>while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) { print_r($row); }</p>3. 获取查询结果的不同方式
PDOStatement提供了多种获取数据的方法,根据需要选择:
- fetch():获取单行数据
- fetchAll():获取所有结果行
- fetchColumn():获取单个值(如统计数量)
// 获取总记录数 $count = $pdo->prepare("SELECT COUNT(*) FROM users"); $count->execute(); echo "用户总数: " . $count->fetchColumn(); <p>// 获取所有数据 $users = $stmt->fetchAll(PDO::FETCH_ASSOC); foreach ($users as $user) { echo $user['name'] . "<br>"; }</p>基本上就这些。日常开发中优先使用预处理语句,安全又灵活。简单查询可用query(),但一旦涉及变量,立刻切换到prepare + execute模式。