PHP中操作MySQL的需注意的问题[MySQL防范]

1.每一行号令都是用分号 (;) 作为完毕

关于 MySQL ,第一件你必须紧记的是它的每一行号令都是用分号 (;) 作为完毕的,但……没有完好绝对的事,在这儿也是一样,当一行 MySQL 被插入在 PHP 代码中时,最好把背面的分号省略掉,比方:

mysql_query ("INSERT INTO tablename (first_name, last_name) VALUES ('$first_name', $last_name')");

这是因为 PHP 也是以分号作为一行的完毕的,额外的分号有时会让 PHP 的语法解析器搞不懂得,所以还是省略掉的好.在这种情形下,固然省略了分号,但是 PHP 在履行 MySQL 号令时会自动的帮你加上的.

别的还有一个不要加分号的情形.当你想把要字段的竖者布列显示下来,而不是像普通的那样横着布列时,你可以用 G 来完毕一行 SQL 语句,这时就用不上分号了,比方:

SELECT * FROM PENPALS WHERE USER_ID = 1G

２. TEXT、DATE、和 SET 数据范例

MySQL 数据表的字段必须有定义一个数据范例.这有大约 25 种挑选,大部份都是直接明了的,就不多费口舌了.但有几个有必要提一下.

TEXT 不是一种数据范例,固然大概有些书上是这么说的.它实际上应当是" LONG VARCHAR "大概" MEDIUMTEXT ".

DATE 数据范例的格局是 YYYY-MM-DD ,比方: 1999-12-08 .你可以很简单的用 date 函数来得到这种格局的当前系统时间: date("Y-m-d")

并且,在 DATA 数据范例之间可以作减法,得到相差的时间天数:

$age = ($current_date - $birthdate);

调集 SET 是一个有效的数据范例,它和列举 ENUM 有点类似,只不过是 SET 可以保存多个值而 ENUM 只能保存一个值罢了.并且, SET 范例最多只可以有 64 个预定的值,而 ENUM 范例却可以处理最多 65,535 个预定义的值.而假如需求有大于 64 个值的调集,该怎么办呢?这时就需求定义多个调集来一同办理这个问题了.

３. 通配符

SQL 的通配符有两种:" * "和" % ".辨别用在差别的情形下.比方:假如你想看到数据库的全部内容,可以像这样来查询:

SELECT * FROM dbname WHERE USER_ID LIKE '%';

这儿,两个通配符都被用上了.他们表示相同的意思 ?? 都是用来匹配任何的字符串,但是他们用在差别的上下文中." * "用来匹配字段名,而" % "用来匹配字段值.别的一个不简单惹起注意的地方是" % "通配符需求和 LIKE 关键字一同利用.

还有一个通配符,就是下划线" _ ",它代表的意思和上面差别,是用来匹配任何单个的字符的.

４. NOT NULL 和空记录

假如用户在没有填任何东西的情形下按了 submit 按钮,会怎样呢?假如你确切需求一个值,那么可以用客户端脚本大概服务器端脚本来举行数据考证,这一点在前面已经说过了.但是,在数据库中倒是答应一些字段被空出来什么也不填.对此类记录, MySQL 将要为之履行一些事情:插入值 NULL ,这是缺省的操作.

假如你在字段定义中为之声明了 NOT NULL （在成立大概改正这个字段的时刻）, MySQL 将把这个字段空出来什么东西也不填.关于一个 ENUM 列举范例的字段,假如你为之声明了 NOT NULL , MySQL 将把列举集的第一个值插入到字段中.也就是说, MySQL 把列举集的第一个值作为这个列举范例的缺省值.

一个值为 NULL 的记录和一个空记录是有一些辨别的. % 通配符可以匹配空记录,但是却不能匹配 NULL 记录.在某些时刻,这种辨别会造成一些意想不到的后果.就我的经验而言,任何字段都应当声明为 NOT NULL .这样下面的 SELECT 查询语句就可以够正常运转了:

if (!$CITY) {$CITY = "%";}

$selectresult = mysql_query ("SELECT * FROM dbname

WHERE FIRST_NAME = ' 柳 '

AND LAST_NAME = ' 如风 '

AND CITY LIKE '$CITY'

");

在第一行中,假如用户没有指定一个 CITY 值,那么就会用通配符 % 来代入 CITY 变量,这样搜索时就会把任何的 CITY 值都考虑进去,乃至包含那些 CITY 字段为空的记录.

但是假若有一些记录,它的 CITY 字段值是 NULL ,这时问题就呈现了.上面的查询是不可以找到这些字段的.问题的一个办理办法可以是这样:

if (!$CITY) { $CITY = "%"; }

$selectresult = mysql_query ("SELECT * FROM dbname

WHERE FIRST_NAME = ' 柳 '

AND LAST_NAME = ' 如风 '

AND (CITY LIKE '$CITY' OR CITY IS NULL)

");

注意在搜索 NULL 时,必须用" IS "关键字,而 LIKE 时不会正常工作的.

在最后要提到的是,假如你在加入大概改正一个新的字段之前,数据库中已经有了一些记录了,这时新加入的字段在本来的记录中的值,大概是 NULL ,也大概为空.这也算是 MySQL 的一个 Bug 吧,所以在这种情形下,利用 SELECT 查询要分外的当心.