使用PDO封装数据库类可提升PHP项目的安全性与可维护性,支持增删改查、预处理防注入,并可通过扩展实现链式调用、事务处理与日志记录,适用于中小型项目。
在PHP开发中,数据库操作是每个项目几乎都会涉及的部分。为了提高代码的复用性、可维护性和安全性,封装一个通用的数据库操作类是非常必要的。一个好的数据库类应该支持常用的增删改查操作,具备良好的扩展性,并能有效防止SQL注入等安全问题。
使用PDO进行数据库封装
推荐使用PHP的PDO(PHP Data Objects)扩展来实现数据库类,因为它支持多种数据库,具有更好的安全性和灵活性,尤其是对预处理语句的支持,能有效防止SQL注入。
示例:一个简单的通用数据库操作类
class Database {
private $pdo;
private $
stmt;
// 构造函数,建立数据库连接
public function __construct($host = 'localhost', $dbname = 'test', $username = 'root', $password = '') {
$dsn = "mysql:host={$host};dbname={$dbname};charset=utf8mb4";
try {
$this->pdo = new PDO($dsn, $username, $password, [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
PDO::ATTR_EMULATE_PREPARES => false,
]);
} catch (PDOException $e) {
throw new Exception('数据库连接失败:' . $e->getMessage());
}
}
// 执行SQL查询
public function query($sql, $params = []) {
$this->stmt = $this->pdo->prepare($sql);
$this->stmt->execute($params);
return $this;
}
// 获取单行结果
public function fetch() {
return $this->stmt->fetch();
}
// 获取所有结果
public function fetchAll() {
return $this->stmt->fetchAll();
}
// 获取影响行数
public function rowCount() {
return $this->stmt->rowCount();
}
// 插入数据
public function insert($table, $data) {
$fields = array_keys($data);
$placeholders = ':' . implode(', :', $fields);
$sql = "INSERT INTO {$table} (" . implode(', ', $fields) . ") VALUES ({$placeholders})";
return $this->query($sql, $data);
}
// 更新数据
public function update($table, $data, $where, $whereParams = []) {
$setPart = '';
foreach ($data as $field => $value) {
$setPart .= "{$field} = :{$field}, ";
}
$setPart = rtrim($setPart, ', ');
$sql = "UPDATE {$table} SET {$setPart} WHERE {$where}";
$params = array_merge($data, $whereParams);
return $this->query($sql, $params);
}
// 删除数据
public function delete($table, $where, $params = []) {
$sql = "DELETE FROM {$table} WHERE {$where}";
return $this->query($sql, $params);
}
// 根据主键查找
public function find($table, $id, $primaryKey = 'id') {
$sql = "SELECT * FROM {$table} WHERE {$primaryKey} = :id";
return $this->query($sql, ['id' => $id])->fetch();
}
// 查找所有
public function findAll($table) {
$sql = "SELECT * FROM {$table}";
return $this->query($sql)->fetchAll();
}
// 获取最后插入的ID
public function lastInsertId() {
return $this->pdo->lastInsertId();
}
}
stmt;
// 构造函数,建立数据库连接
public function __construct($host = 'localhost', $dbname = 'test', $username = 'root', $password = '') {
$dsn = "mysql:host={$host};dbname={$dbname};charset=utf8mb4";
try {
$this->pdo = new PDO($dsn, $username, $password, [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
PDO::ATTR_EMULATE_PREPARES => false,
]);
} catch (PDOException $e) {
throw new Exception('数据库连接失败:' . $e->getMessage());
}
}
// 执行SQL查询
public function query($sql, $params = []) {
$this->stmt = $this->pdo->prepare($sql);
$this->stmt->execute($params);
return $this;
}
// 获取单行结果
public function fetch() {
return $this->stmt->fetch();
}
// 获取所有结果
public function fetchAll() {
return $this->stmt->fetchAll();
}
// 获取影响行数
public function rowCount() {
return $this->stmt->rowCount();
}
// 插入数据
public function insert($table, $data) {
$fields = array_keys($data);
$placeholders = ':' . implode(', :', $fields);
$sql = "INSERT INTO {$table} (" . implode(', ', $fields) . ") VALUES ({$placeholders})";
return $this->query($sql, $data);
}
// 更新数据
public function update($table, $data, $where, $whereParams = []) {
$setPart = '';
foreach ($data as $field => $value) {
$setPart .= "{$field} = :{$field}, ";
}
$setPart = rtrim($setPart, ', ');
$sql = "UPDATE {$table} SET {$setPart} WHERE {$where}";
$params = array_merge($data, $whereParams);
return $this->query($sql, $params);
}
// 删除数据
public function delete($table, $where, $params = []) {
$sql = "DELETE FROM {$table} WHERE {$where}";
return $this->query($sql, $params);
}
// 根据主键查找
public function find($table, $id, $primaryKey = 'id') {
$sql = "SELECT * FROM {$table} WHERE {$primaryKey} = :id";
return $this->query($sql, ['id' => $id])->fetch();
}
// 查找所有
public function findAll($table) {
$sql = "SELECT * FROM {$table}";
return $this->query($sql)->fetchAll();
}
// 获取最后插入的ID
public function lastInsertId() {
return $this->pdo->lastInsertId();
}
}使用示例
封装完成后,使用非常简单:
$db = new Database('localhost', 'myapp', 'root', '123456');
// 查询单条数据
$user = $db->find('users', 1);
var_dump($user);
// 查询所有
$users = $db->findAll('users');
var_dump($users);
// 插入数据
$db->insert('users', [
'name' => '张三',
'email' => 'zhangsan@example.com',
'created_at' => date('Y-m-d H:i:s')
]);
echo "新增ID:" . $db->lastInsertId();
// 更新数据
$db->update('users',
['name' => '李四'],
'id = :id',
['id' => 1]
);
// 删除数据
$db->delete('users', 'id = :id', ['id' => 1]);设计要点与优化建议
在实际项目中,可以进一步优化这个类以适应更复杂的需求:
- 支持链式调用:通过在每个方法返回 $this,实现类似 Query Builder 的链式语法,如 where()->order()->limit()->get()
- 加入事务支持:添加 beginTransaction()、commit()、rollback() 方法,用于处理多表操作
- SQL日志记录:在调试模式下记录执行的SQL和参数,便于排查问题
- 表前缀支持:配置表前缀,方便多项目共用配置
- 连接池或单例模式:避免重复创建数据库连接,提升性能
安全性注意事项
该类通过预处理语句(prepare + execute)从根本上避免了SQL注入。务必注意:
- 禁止直接拼接用户输入到SQL中
- 所有变量都应通过参数绑定方式传入
- 对字段名、表名等无法参数化的部分,需通过白名单机制过滤
基本上就这些。一个简洁、安全、易用的数据库类就能满足大多数中小型项目的需求。随着项目复杂度上升,可逐步引入更强大的ORM(如Eloquent)或Query Builder。
