5种易犯的PHP数据库错误

 5种易犯的PHP数据库错误---包括数据库模式设计、数据库访问和使用数据库的业务逻辑代码---以及它们的解决方案。

  如果只有一种 方式使用数据库是正确的…… 

  您可以用很多的方式创建数据库设计、数据库访问和基于数据库的 PHP 业务逻辑代码,但最终一般以错误告终。本文说明了数据库设计和访问数据库的 PHP 代码中出现的五个常见问题,以及在遇到这些问题时如何修复它们。

  问题 1:直接使用 MySQL

  一个常见问题是较老的 PHP 代码直接使用 mysql_ 函数来访问数据库。清单 1 展示了如何直接访问数据库。

  清单 1. access/get.php

<?php
function get_user_id( $name )
{
 $db = mysql_connect( ’localhost’, ’root’, ’passWord’ );
 mysql_select_db( ’users’ );

 $res = mysql_query( "SELECT id FROM users WHERE login=’".$name."’" );
 while( $row = mysql_fetch_array( $res ) ) { $id = $row[0]; }

 return $id;
}

var_dump( get_user_id( ’jack’ ) );
?> 

  注意使用了 mysql_connect 函数来访问数据库。还要注意查询,其中使用字符串连接来向查询添加 $name 参数。

  该技术有两个很好的替代方案:PEAR DB 模块和 PHP Data Objects (PDO) 类。两者都从特定数据库选择提供抽象。因此,您的代码无需太多调整就可以在 IBM? DB2?、MySQL、PostgreSQL 或者您想要连接到的任何其他数据库上运行。

  使用 PEAR DB 模块和 PDO 抽象层的另一个价值在于您可以在 SQL 语句中使用 ? 操作符。这样做可使 SQL 更加易于维护,且可使您的应用程序免受 SQL 注入攻击。

  使用 PEAR DB 的替代代码如下所示。

  清单 2. Access/get_good.php

<?php
require_once("DB.php");

function get_user_id( $name )
{
 $dsn = ’mysql://root:password@localhost/users’;
 $db =& DB::Connect( $dsn, array() );
 if (PEAR::isError($db)) { die($db->getMessage()); }

 $res = $db->query( ’SELECT id FROM users WHERE login=?’,array( $name ) );
 $id = null;
 while( $res->fetchInto( $row ) ) { $id = $row[0]; }

 return $id;
}

var_dump( get_user_id( ’jack’ ) );
?> 

  注意,所有直接用到 MySQL 的地方都消除了,只有 $dsn 中的数据库连接字符串除外。此外,我们通过 ? 操作符在 SQL 中使用 $name 变量。然后,查询的数据通过 query() 方法末尾的 array 被发送进来。

  问题 2:不使用自动增量功能

  与大多数现代数据库一样,MySQL 能够在每记录的基础上创建自动增量惟一标识符。除此之外,我们仍然会看到这样的代码,即首先运行一个 SELECT 语句来找到最大的 id,然后将该 id 增 1,并找到一个新记录。清单 3 展示了一个示例坏模式。

  清单 3. Badid.sql

DROP TABLE IF EXISTS users;
CREATE TABLE users (
id MEDIUMINT,
login TEXT,
password TEXT
);

INSERT INTO users VALUES ( 1, ’jack’, ’pass’ );
INSERT INTO users VALUES ( 2, ’joan’, ’pass’ );
INSERT INTO users VALUES ( 1, ’jane’, ’pass’ ); 

  这里的 id 字段被简单地指定为整数。所以,尽管它应该是惟一的,我们还是可以添加任何值,如 CREATE 语句后面的几个 INSERT 语句中所示。清单 4 展示了将用户添加到这种类型的模式的 PHP 代码。

  清单 4. Add_user.php

<?php
require_once("DB.php");

function add_user( $name, $pass )
{
 $rows = array();

 $dsn = ’mysql://root:password@localhost/bad_badid’;
 $db =& DB::Connect( $dsn, array() );
 if (PEAR::isError($db)) { die($db->getMessage()); }

 $res = $db->query( "SELECT max(id) FROM users" );
 $id = null;
 while( $res->fetchInto( $row ) ) { $id = $row[0]; }

 $id += 1;

 $sth = $db->PRepare( "INSERT INTO users VALUES(?,?,?)" );
 $db->execute( $sth, array( $id, $name, $pass ) );

 return $id;
}

$id = add_user( ’jerry’, ’pass’ );

var_dump( $id );
?> 

  add_user.php 中的代码首先执行一个查询以找到 id 的最大值。然后文件以 id 值加 1 运行一个 INSERT 语句。该代码在负载很重的服务器上会在竞态条件中失败。另外,它也效率低下。

  那么替代方案是什么呢?使用 MySQL 中的自动增量特性来自动地为每个插入创建惟一的 ID。更新后的模式如下所示。

  清单 5. Goodid.php

DROP TABLE IF EXISTS users;
CREATE TABLE users (
 id MEDIUMINT NOT NULL AUTO_INCREMENT,
 login TEXT NOT NULL,
 password TEXT NOT NULL,
 PRIMARY KEY( id )
);

INSERT INTO users VALUES ( null, ’jack’, ’pass’ );
INSERT INTO users VALUES ( null, ’joan’, ’pass’ );
INSERT INTO users VALUES ( null, ’jane’, ’pass’ ); 

  我们添加了 NOT NULL 标志来指示字段必须不能为空。我们还添加了 AUTO_INCREMENT 标志来指示字段是自动增量的,添加 PRIMARY KEY 标志来指示那个字段是一个 id。这些更改加快了速度。清单 6 展示了更新后的 PHP 代码,即将用户插入表中。

  清单 6. Add_user_good.php

<?php
require_once("DB.php");

function add_user( $name, $pass )
{
 $dsn = ’mysql://root:password@localhost/good_genid’;
 $db =& DB::Connect( $dsn, array() );
 if (PEAR::isError($db)) { die($db->getMessage()); }

 $sth = $db->prepare( "INSERT INTO users VALUES(null,?,?)" );
 $db->execute( $sth, array( $name, $pass ) );

 $res = $db->query( "SELECT last_insert_id()" );
 $id = null;
 while( $res->fetchInto( $row ) ) { $id = $row[0]; }

 return $id;
}

$id = add_user( ’jerry’, ’pass’ );

var_dump( $id );
?> 

  现在我不是获得最大的 id 值,而是直接使用 INSERT 语句来插入数据,然后使用 SELECT 语句来检索最后插入的记录的 id。该代码比最初的版本及其相关模式要简单得多,且效率更高。

  问题 3:使用多个数据库

  偶尔,我们会看到一个应用程序中,每个表都在一个单独的数据库中。在非常大的数据库中这样做是合理的,但是对于一般的应用程序,则不需要这种级别的分割。此外,不能跨数据库执行关系查询,这会影响使用关系数据库的整体思想,更不用说跨多个数据库管理表会更困难了。 那么,多个数据库应该是什么样的呢?首先,您需要一些数据。清单 7 展示了分成 4 个文件的这样的数据。

  清单 7. 数据库文件

Files.sql:
CREATE TABLE files (
 id MEDIUMINT,
 user_id MEDIUMINT,
 name TEXT,
 path TEXT
);

Load_files.sql:
INSERT INTO files VALUES ( 1, 1, ’test1.jpg’, ’files/test1.jpg’ );
INSERT INTO files VALUES ( 2, 1, ’test2.jpg’, ’files/test2.jpg’ );

Users.sql:
DROP TABLE IF EXISTS users;
CREATE TABLE users (
 id MEDIUMINT,
 login TEXT,
 password TEXT
);

Load_users.sql:
INSERT INTO users VALUES ( 1, ’jack’, ’pass’ );
INSERT INTO users VALUES ( 2, ’jon’, ’pass’ ); 

  在这些文件的多数据库版本中,您应该将 SQL 语句加载到一个数据库中,然后将 users SQL 语句加载到另一个数据库中。用于在数据库中查询与某个特定用户相关联的文件的 PHP 代码如下所示。

  清单 8. Getfiles.php

<?php
require_once("DB.php");

function get_user( $name )
{
 $dsn = ’mysql://root:password@localhost/bad_multi1’;
 $db =& DB::Connect( $dsn, array() );
 if (PEAR::isError($db)) { die($db->getMessage()); }

 $res = $db->query( "SELECT id FROM users WHERE login=?",array( $name ) );
 $uid = null;
 while( $res->fetchInto( $row ) ) { $uid = $row[0]; }

 return $uid;
}

function get_files( $name )
{
 $uid = get_user( $name );

 $rows = array();

 $dsn = ’mysql://root:password@localhost/bad_multi2’;
 $db =& DB::Connect( $dsn, array() );
 if (PEAR::isError($db)) { die($db->getMessage()); }

 $res = $db->query( "SELECT * FROM files WHERE user_id=?",array( $uid ) );
 while( $res->fetchInto( $row ) ) { $rows[] = $row; }
 return $rows;
}

$files = get_files( ’jack’ );

var_dump( $files );
?> 

  get_user 函数连接到包含用户表的数据库并检索给定用户的 ID。get_files 函数连接到文件表并检索与给定用户相关联的文件行。

  做所有这些事情的一个更好办法是将数据加载到一个数据库中,然后执行查询,比如下面的查询。

  清单 9. Getfiles_good.php

<?php
require_once("DB.php");

function get_files( $name )
{
 $rows = array();

 $dsn = ’mysql://root:password@localhost/good_multi’;
 $db =& DB::Connect( $dsn, array() );
 if (PEAR::isError($db)) { die($db->getMessage()); }

 $res = $db->query("SELECT files.* FROM users, files WHERE
users.login=? AND users.id=files.user_id",
array( $name ) );
 while( $res->fetchInto( $row ) ) { $rows[] = $row; }

 return $rows;
}

$files = get_files( ’jack’ );

var_dump( $files );
?> 

  该代码不仅更短,而且也更容易理解和高效。我们不是执行两个查询,而是执行一个查询。

  尽管该问题听起来有些牵强,但是在实践中我们通常总结出所有的表应该在同一个数据库中,除非有非常迫不得已的理由。 问题 4:不使用关系

  关系数据库不同于编程语言,它们不具有数组类型。相反,它们使用表之间的关系来创建对象之间的一到多结构,这与数组具有相同的效果。我在应用程序中看到的一个问题是,工程师试图将数据库当作编程语言来使用,即通过使用具有逗号分隔的标识符的文本字符串来创建数组。请看下面的模式。 

  清单 10. Bad.sql

DROP TABLE IF EXISTS files;
CREATE TABLE files (
 id MEDIUMINT,
 name TEXT,
 path TEXT
);

DROP TABLE IF EXISTS users;
CREATE TABLE users (
 id MEDIUMINT,
 login TEXT,
 password TEXT,
 files TEXT
);

INSERT INTO files VALUES ( 1, ’test1.jpg’, ’media/test1.jpg’ );
INSERT INTO files VALUES ( 2, ’test1.jpg’, ’media/test1.jpg’ );
INSERT INTO users VALUES ( 1, ’jack’, ’pass’, ’1,2’ ); 

  系统中的一个用户可以具有多个文件。在编程语言中,应该使用数组来表示与一个用户相关联的文件。在本例中,程序员选择创建一个 files 字段,其中包含一个由逗号分隔的文件 id 列表。要得到一个特定用户的所有文件的列表,程序员必须首先从用户表中读取行,然后解析文件的文本,并为每个文件运行一个单独的 SELECT 语句。该代码如下所示。

  清单 11. Get.php

<?php
require_once("DB.php");

function get_files( $name )
{
 $dsn = ’mysql://root:password@localhost/bad_norel’;
 $db =& DB::Connect( $dsn, array() );
 if (PEAR::isError($db)) { die($db->getMessage()); }

 $res = $db->query( "SELECT files FROM users WHERE login=?",array( $name ) );
 $files = null;
 while( $res->fetchInto( $row ) ) { $files = $row[0]; }

 $rows = array();

 foreach( split( ’,’,$files ) as $file )
 {
  $res = $db->query( "SELECT * FROM files WHERE id=?",
  array( $file ) );
  while( $res->fetchInto( $row ) ) { $rows[] = $row; }
 }

 return $rows;
}

$files = get_files( ’jack’ );

var_dump( $files );
?> 

  该技术很慢,难以维护,且没有很好地利用数据库。惟一的解决方案是重新架构模式,以将其转换回到传统的关系形式,如下所示。

  清单 12. Good.sql

DROP TABLE IF EXISTS files;
CREATE TABLE files (
 id MEDIUMINT,
 user_id MEDIUMINT,
 name TEXT,
 path TEXT
);

DROP TABLE IF EXISTS users;
CREATE TABLE users (
 id MEDIUMINT,
 login TEXT,
 password TEXT
);

INSERT INTO users VALUES ( 1, ’jack’, ’pass’ );
INSERT INTO files VALUES ( 1, 1, ’test1.jpg’, ’media/test1.jpg’ );
INSERT INTO files VALUES ( 2, 1, ’test1.jpg’, ’media/test1.jpg’ ); 

  这里,每个文件都通过 user_id 函数与文件表中的用户相关。这可能与任何将多个文件看成数组的人的思想相反。当然,数组不引用其包含的对象 —— 事实上,反之亦然。但是在关系数据库中,工作原理就是这样的,并且查询也因此要快速且简单得多。清单 13 展示了相应的 PHP 代码。

  清单 13. Get_good.php

<?php
require_once("DB.php");

function get_files( $name )
{
 $dsn = ’mysql://root:password@localhost/good_rel’;
 $db =& DB::Connect( $dsn, array() );
 if (PEAR::isError($db)) { die($db->getMessage()); }

 $rows = array();
 $res = $db->query("SELECT files.* FROM users,files WHERE users.login=?
AND users.id=files.user_id",array( $name ) );
 while( $res->fetchInto( $row ) ) { $rows[] = $row; }
 return $rows;
}

$files = get_files( ’jack’ );

var_dump( $files );
?> 

  这里,我们对数据库进行一次查询,以获得所有的行。代码不复杂,并且它将数据库作为其原有的用途使用。

  问题 5:n+1 模式

  我真不知有多少次看到过这样的大型应用程序,其中的代码首先检索一些实体(比如说客户),然后来回地一个一个地检索它们,以得到每个实体的详细信息。我们将其称为 n+1 模式,因为查询要执行这么多次 —— 一次查询检索所有实体的列表,然后对于 n 个实体中的每一个执行一次查询。当 n=10 时这还不成其为问题,但是当 n=100 或 n=1000 时呢?然后肯定会出现低效率问题。清单 14 展示了这种模式的一个例子。

  清单 14. Schema.sql

DROP TABLE IF EXISTS authors;
CREATE TABLE authors (
 id MEDIUMINT NOT NULL AUTO_INCREMENT,
 name TEXT NOT NULL,
 PRIMARY KEY ( id )
);

DROP TABLE IF EXISTS books;
CREATE TABLE books (
 id MEDIUMINT NOT NULL AUTO_INCREMENT,
 author_id MEDIUMINT NOT NULL,
 name TEXT NOT NULL,
 PRIMARY KEY ( id )
);

INSERT INTO authors VALUES ( null, ’Jack Herrington’ );
INSERT INTO authors VALUES ( null, ’Dave Thomas’ );

INSERT INTO books VALUES ( null, 1, ’Code Generation in Action’ );
INSERT INTO books VALUES ( null, 1, ’Podcasting Hacks’ );
INSERT INTO books VALUES ( null, 1, ’PHP Hacks’ );
INSERT INTO books VALUES ( null, 2, ’Pragmatic Programmer’ );
INSERT INTO books VALUES ( null, 2, ’Ruby on Rails’ );
INSERT INTO books VALUES ( null, 2, ’Programming Ruby’ ); 

  该模式是可靠的,其中没有任何错误。问题在于访问数据库以找到一个给定作者的所有书籍的代码中,如下所示。

  清单 15. Get.php

<?php
require_once(’DB.php’);

$dsn = ’mysql://root:password@localhost/good_books’;
$db =& DB::Connect( $dsn, array() );
if (PEAR::isError($db)) { die($db->getMessage()); }

function get_author_id( $name )
{
 global $db;

 $res = $db->query( "SELECT id FROM authors WHERE name=?",array( $name ) );
 $id = null;
 while( $res->fetchInto( $row ) ) { $id = $row[0]; }
 return $id;
}

function get_books( $id )
{
 global $db;

 $res = $db->query( "SELECT id FROM books WHERE author_id=?",array( $id ) );
 $ids = array();
 while( $res->fetchInto( $row ) ) { $ids []= $row[0]; }
 return $ids;
}

function get_book( $id )
{
 global $db;

 $res = $db->query( "SELECT * FROM books WHERE id=?", array( $id ) );
 while( $res->fetchInto( $row ) ) { return $row; }
 return null;
}

$author_id = get_author_id( ’Jack Herrington’ );
$books = get_books( $author_id );
foreach( $books as $book_id ) {
 $book = get_book( $book_id );
 var_dump( $book );
}
?> 

  如果您看看下面的代码,您可能会想,“嘿,这才是真正的清楚明了。” 首先,得到作者 id,然后得到书籍列表,然后得到有关每本书的信息。的确,它很清楚明了,但是其高效吗?回答是否定的。看看只是检索 Jack Herrington 的书籍时要执行多少次查询。一次获得 id,另一次获得书籍列表,然后每本书执行一次查询。三本书要执行五次查询!

  解决方案是用一个函数来执行大量的查询,如下所示。

  清单 16. Get_good.php

<?php
require_once(’DB.php’);

$dsn = ’mysql://root:password@localhost/good_books’;
$db =& DB::Connect( $dsn, array() );
if (PEAR::isError($db)) { die($db->getMessage()); }

function get_books( $name )
{
 global $db;

 $res = $db->query("SELECT books.* FROM authors,books WHERE books.author_id=authors.id AND authors.name=?",
 array( $name ) );
 $rows = array();
 while( $res->fetchInto( $row ) ) { $rows []= $row; }
  return $rows;
 }

 $books = get_books( ’Jack Herrington’ );
 var_dump( $books );
?> 

  现在检索列表需要一个快速、单个的查询。这意味着我将很可能必须具有几个这些类型的具有不同参数的方法,但是实在是没有选择。如果您想要具有一个扩展的 PHP 应用程序,那么必须有效地使用数据库,这意味着更智能的查询。

  本例的问题是它有点太清晰了。通常来说,这些类型的 n+1 或 n*n 问题要微妙得多。并且它们只有在数据库管理员在系统具有性能问题时在系统上运行查询剖析器时才会出现。 

时间: 2025-01-19 15:30:48

5种易犯的PHP数据库错误的相关文章

安全应急响应工作中易犯的5大错误

本文讲的是 安全应急响应工作中易犯的5大错误,转行或开启一份新工作的最大挑战之一,不是了解该做什么,而是学会不能做什么. 人非圣贤,孰能无过?但在安全行业,小过失往往造成大损失.下面是安全响应中一些常见的错误,以及安全专家给出的真知灼见. 无准备 对没准备的公司,发现自己被攻击的事实可能会带来恐慌.无效响应和难以承受的账单.你知道攻击事件中得弄清哪些问题,不妨设置好整体计划以应对这些问题,有备无患. 比如说:哪些数据被盗了?攻击者是怎么进到公司网络的?他们在公司网络中畅游多久了?都有哪些系统被他

将数据中心迁移到云时易犯的10个错误

从前不久的数据来看,虽然25%的企业还在评估云服务是否可以在日常生产环境中为他们工作,以及他们的公司数据在云中是否安全. 但是,对于云服务提供商存储和保护关键业务信息的态度已经发生了变化. 根据IDG企业调查显示,一些企业预计到2017年年底会将其59%的IT环境迁移到云.对于企业机构而言,这是一个令人印象深刻的数字,但也不是那么简单的,因为会出现更多的挑战, 有许多预防措施是一定要考虑的,它是一个彻底的,多步骤的过程.一步做不好就有可能导致事情的失败.将企业的数据中心资产移到云计算平台需要大量

数据挖掘中易犯的11大错误

按照Elder博士的总结,这10大易犯错误包括: 0. 缺乏数据(Lack Data) 1. 太关注训练(Focus on Training) 2. 只依赖一项技术(Rely on One Technique) 3. 提错了问题(Ask the Wrong Question) 4. 只靠数据来说话(Listen (only) to the Data) 5. 使用了未来的信息(Accept Leaks from the Future) 6. 抛弃了不该忽略的案例(Discount Pesky Ca

看似简单!解读C#程序员最易犯的7大错误

编程时犯错是必然的,即使是一个很小的错误也可能会导致昂贵的代价,聪明的人善于从错误中汲取教训,尽量不再重复犯错,在这篇文章中,我将重点介绍C#开发人员最容易犯的7个错误. 格式化字符串 在C#编程中,字符串类型是最容易处理出错的地方,其代价往往也很昂贵,在.NET Framework中,字符串是一个不可变的类型,当一个字符串被修改后,总是创建一个新的副本,不会改变源字符串,大多数开发人员总是喜欢使用下面这样的方法格式化字符串: string updateQueryText = "UPDATE E

一起谈.NET技术,看似简单!解读C#程序员最易犯的7大错误

编程时犯错是必然的,即使是一个很小的错误也可能会导致昂贵的代价,聪明的人善于从错误中汲取教训,尽量不再重复犯错,在这篇文章中,我将重点介绍C#开发人员最容易犯的7个错误. 格式化字符串 在C#编程中,字符串类型是最容易处理出错的地方,其代价往往也很昂贵,在.NET Framework中,字符串是一个不可变的类型,当一个字符串被修改后,总是创建一个新的副本,不会改变源字符串,大多数开发人员总是喜欢使用下面这样的方法格式化字符串: string updateQueryText = "UPDATE E

社会化SEO中易犯的4个错误

首先,当然需要知道什么是社会化SEO,很简单,根据字面意思就知道,是社会化媒体营销和SEO的结合体,这种整合营销的威力可能会远远超过一些http://www.aliyun.com/zixun/aggregation/38848.html">营销人员的想象的.在线营销没有成果的话,那就表示你的行动不正确,没有恰当的利用好各种平台资源,从而导致品牌的信息战略显得无力而困惑. 你要意识到社交媒体营销和SEO是"手牵着手"的,有一些易犯的错误需要注意,这里就介绍4个社会化SEO

必看 :大数据挖掘中易犯的11大错误

0.缺乏数据(LackData) 对于分类问题或预估问题来说,常常缺乏准确标注的案例. 例如: 欺诈侦测(FraudDetection):在上百万的交易中,可能只有屈指可数的欺诈交易,还有很多的欺诈交易没有被正确标注出来,这就需要在建模前花费大量人力来修正. 信用评分(CreditScoring):需要对潜在的高风险客户进行长期跟踪(比如两年),从而积累足够的评分样本. 1.太关注训练(FocusonTraining) IDMer:就象体育训练中越来越注重实战训练,因为单纯的封闭式训练常常会训练

机器学习入门阶段程序员易犯的5个错误

怎样进入机器学习领域没有定式.我们的学习方式都有些许不同,学习的目标也因人而异. 但一个共同的目标就是要能尽快上手.如果这也是你的目标,那么这篇文章为你列举了程序员们在通往机器学习高手道路上常见的五种错误. 1.将机器学习看得高不可攀 机器学习不过是另一堆技术的集合,你可以用它来解决复杂问题.这是一个飞速发展的领域,因此,机器学习的学术交流一般出现在学术期刊及研究生的课本里,让它看起来高不可攀又难于理解. 要想高效掌握机器学习,我们需要转变观念,从技术转到方法,由精确变为"足够好",这

创业公司最易犯的7个错误

别成为这些普遍的企业家们所犯错误下的牺牲品,你最好能够避免类似的导致创业公司迅速消亡的结局.我们先来谈一谈为什么你要创办一个公司,是时候让我带你认清现实了. 创办一个公司将会是你曾经做过的所有事情里面最难的一件.因为你在与整个世界对抗,并且最后通常是这个世界赢你,事实往往有超过65%以上的商家面临着失败倒闭的结局. 所以,你将会犯什么样的错误从而导致事业垮掉呢?以下是我总结的七点关于创业公司的http://www.aliyun.com/zixun/aggregation/18190.html"&