1. Предполагаемая
аудитория
Статья предназначена для читателей, имеющих некоторый опыт использования PHP и MySQL. Она предполагает, что читатель понимает основные принципы работы с базами данных и программирования и может использовать сценарий PHP для отправки запроса серверу MySQL.
Обратите внимание на то, что в конце статьи имеются сноски для разъяснения некоторых утверждений и словарь терминов.
2. Введение
Начиная с середины 90х, ext/mysql служило основным мостом между PHP и MySQL. Хотя в нем имелись недостатки и проблемы росли с годами, в общем, ext/mysql делал свое дело неплохо и шел в ногу с изменениями как в PHP, так и в MySQL.
Однако с появлением PHP 5 и MySQL 4.1 все изменилось - начали образовываться несколько достаточно обширных трещин.
В ext/mysql имелись "достоинства, оказавшиеся недостатками": в первую очередь это mysql_pconnect()[1] , подключение по умолчанию и автоматическое подключение[2]. Кроме того, проявились несовместимости между функциями ext/mysql и теми, что поддерживались клиентской библиотекой MySQL, на которой основаны и ext/mysql, и ext/mysqli.
В попытке исправить эти расхождения, Георг Рихтер создал очередное расширение PHP 5, которое поддерживает новые возможности MySQL 4.1+. Это расширение получило название ext/mysqli, где 'i' заменяет одно из слов: improved(улучшенное), interface(интерфейс), ingenious(изобретательное), incompatible(несовместимое) or incomplete(неполное).[3]
Ext/mysqli поддерживает новые возможности, появившиеся в последних версиях MySQL, и предлагает новые функции.
Кроме получения доступа к дополнительному функционалу MySQL 4.1+, зачем же стоит переходить на использование ext/mysqli?
В дополнение к упомянутому функционалу, ext/mysqli имеет несколько существенных преимуществ:
Некоторые аспекты ext/mysqli сильно отличаются от старого расширения. С целью исправления определенных изъянов в дизайне и поведения, склонного к ошибкам, некоторые возможности были убраны:
Статья предназначена для читателей, имеющих некоторый опыт использования PHP и MySQL. Она предполагает, что читатель понимает основные принципы работы с базами данных и программирования и может использовать сценарий PHP для отправки запроса серверу MySQL.
Обратите внимание на то, что в конце статьи имеются сноски для разъяснения некоторых утверждений и словарь терминов.
2. Введение
Начиная с середины 90х, ext/mysql служило основным мостом между PHP и MySQL. Хотя в нем имелись недостатки и проблемы росли с годами, в общем, ext/mysql делал свое дело неплохо и шел в ногу с изменениями как в PHP, так и в MySQL.
Однако с появлением PHP 5 и MySQL 4.1 все изменилось - начали образовываться несколько достаточно обширных трещин.
В ext/mysql имелись "достоинства, оказавшиеся недостатками": в первую очередь это mysql_pconnect()[1] , подключение по умолчанию и автоматическое подключение[2]. Кроме того, проявились несовместимости между функциями ext/mysql и теми, что поддерживались клиентской библиотекой MySQL, на которой основаны и ext/mysql, и ext/mysqli.
В попытке исправить эти расхождения, Георг Рихтер создал очередное расширение PHP 5, которое поддерживает новые возможности MySQL 4.1+. Это расширение получило название ext/mysqli, где 'i' заменяет одно из слов: improved(улучшенное), interface(интерфейс), ingenious(изобретательное), incompatible(несовместимое) or incomplete(неполное).[3]
Ext/mysqli поддерживает новые возможности, появившиеся в последних версиях MySQL, и предлагает новые функции.
Кроме получения доступа к дополнительному функционалу MySQL 4.1+, зачем же стоит переходить на использование ext/mysqli?
В дополнение к упомянутому функционалу, ext/mysqli имеет несколько существенных преимуществ:
Некоторые аспекты ext/mysqli сильно отличаются от старого расширения. С целью исправления определенных изъянов в дизайне и поведения, склонного к ошибкам, некоторые возможности были убраны:
3. Покажите мне код!
Теперь, когда вы знаете, что изменилось, мы начнем анализировать код, который демонстрирует, как выглядит и работает новое расширение. Весь самостоятельный код, приведенный в этой статье, использует базу данных "world", которая бесплатно доступна на сайте http://www.mysql.com/documentation/index.html.
3.1 Базовое использование
Вот простой скрипт, который соединяется с сервером MySQL, посылает запрос серверу с помощью этого соединения, выводит результаты запроса и затем освобождает результирующее множество запроса и закрывает соединение.
Как видно из кода, ext/mysqli и ext/mysql могут быть очень похожи. Единственным существенным различием является то, что процедурный стиль ext/mysqli несколько более "многословен".
Заметьте, что без проверки на ошибки приведенный скрипт мог бы дать сбой в любом месте и вывести пользователю мерзкое сообщение об ошибке.
3.2 Использование объектно-ориентированного интерфейса
Объектно-ориентированный интерфейс предоставляет немного более лаконичный и менее восприимчивый к ошибкам метод использования ext/mysqli. Код, приведенный ниже, производит те же действия, что и предыдущий, однако, имеются несколько ключевых отличий, на которые стоит обратить внимание:
Теперь, когда мы разобрали азы использования расширения, рассмотрим несколько новых возможностей.
Подготовленные выражения предоставляют разработчикам возможность создавать запросы, которые являются более безопасными, имеют более высокую производительность и более удобны в написании.
Подготовленные выражения можно использовать двумя способами: с заданными параметрами и с заданными результатами.
4.1 С заданными параметрами
Подготовленные выражения с заданными параметрами позволяют создавать шаблоны запросов и хранить их на сервере MySQL. Когда нужно создать запрос, данные, заполняющие шаблон, отправляются серверу MySQL, где полностью сформированный запрос и выполняется.
Основной процесс создания и использования подготовленных выражений с заданными параметрами прост.
Создается шаблон запроса и посылается серверу MySQL. Сервер его получает, проверяет его корректность, чтобы убедиться, что он имеет смысл, и сохраняет его в специальном буфере. Затем сервер возвращает идентификатор, который может быть в дальнейшем использован для обращения к подготовленному выражению.
Когда нужно создать запрос, данные, заполняющие шаблон, отправляются серверу MySQL и полностью сформированный запрос выполняется.
В этом процессе заключено несколько очень важных деталей.
Тело шаблона отсылается серверу MySQL только один раз. Для выполнения выражения посылаются только данные, необходимые для заполнения шаблона.
Большая часть работы по проверке и обработке запроса проделывается только один раз, вместо того, чтобы делать это каждый раз.
Кроме того, для запросов, которые содержат небольшое количество дынных, расходы сильно уменьшены. Например, если у вас есть запрос типа:
то каждый раз при выполнении запроса нужно отослать лишь около 16 байт вместо обычных 60 или более байт. (Эти приближенные числа включают расходы на все данные вроде идентификатора подготовленного выражения, длины данных запроса - для безопасности бинарных данных - и т.д., но не включают расходы на строку запроса.)
Данные запроса не должны проходить через функции вроде mysql_real_escape_string(), чтобы убедиться, что нет угрозы атаки "SQL-впрыска"[4] Вместо этого, клиент и сервер MySQL работают так, чтобы убедиться, что посланные данные безопасно обработаны при их комбинировании с подготовленным выражением.
Шаблон запроса выглядит как-то так:
Знак '?' можно использовать в большинстве мест, где используются символьные данные, например запрос может быть переделан из
в
Вот более полный пример, демонстрирующий весь процесс:
Обратите внимание на то, что первым параметром bind_param() является короткая строка. Это строка формата, используемая для определения того, как объявленные параметры должны быть интерпретированы.
В случае вышеприведенного сценария 'sssd' означает, что значения первых трех параметров $code, $language и $official будут посланы как строки, а четвертый параметр $percent будет содержать значения типа double с плавающей запятой.
Для каждой заявленной переменной в bind_param(), должна быть своя буква в строке формата, которая означает, как переменная будет отправлена. Например
Объявление типов обеспечивает то, что расширение mysqli знает, как зашифровать данные для большей эффективности.
Определения типов очень просты: данные в заданных переменных будут обрабатываться как целочисленные, рациональные числа (double) или как строки.
Также имеется специальный тип, позволяющий отправлять блобы (большие бинарные объекты) порциями.
Следующая таблица иллюстрирует типы и возможности использования:
4.2 С заданными
результатами
Подготовленные выражения с объявленными результатами позволяют привязывать переменные PHP-скрипта к значениям полей данных в результирующем множестве запроса.
Процесс объявления таков:
Вот более полный пример, демонстрирующий использование и заданных параметров, и заданных результатов одновременно:
В этой статье мы привели обзор возможностей и архитектуры ext/mysqli, а также краткое изложение истории его развития. К этому моменту вы должны понимать, как использовать и получать выгоду от подготовленных выражений MySQL и должны чувствовать удобство использования объектно-ориентированного интерфейса к ext/mysqli.
6. Словарь терминов
ext/mysql - старое расширение PHP для работы с MySQL. Не поддерживает всех возможностей MySQL версий 4.1 и выше.
ext/mysqli - новое расширение PHP 5 для работы с MySQL. Поддерживает возможности MySQL версий от 3.22 до 5.0
Клиентская библиотека MySQL - Компонент MySQL RDBMS (MySQL Relational DataBase Management System - Система управления реляционной базой данных MySQL - прим. переводчика), который позволяет программам общаться с RDBMS.
Сервер MySQL - Компонент MySQL RDBMS, который обрабатывает и отвечает на запросы, управляет файловым представлением данных внутри базы и т.д.
[1] - Функция mysql_pconnect() была создана для предоставления механизма уменьшения затрат на установление и разрыв соединений с сервером MySQL. К сожалению, из-за взаимодействия между архитектурами сервера Apache и PHP, большой трафик на сайте, использующем pconnect, мог быстро загрязнить сервер MySQL большим количеством неиспользуемых соединений, которые мешали активным соединениям получать доступ к базе данных.
[2] - Возможности автоматического соединения позволяли определенным вызовам функций автоматически соединяться с базой данных (если правильная информация о соединении находилась в конфигурационном файле php.ini). Возможность соединения по умолчанию работала по следующему принципу. Последнее открытое соединение с базой MySQL становится используемым соединением, если параметр соединения не был явно указан в аргументах функции.
[3] - Это расширение все еще находится в стадии разработки. В то время как набор возможностей ядра должен быть действительно стабильным, ни MySQL 4.1, ни PHP 5.0 не имеют стабильных релизов (статья появилась до выхода PHP 5.0.0 - прим. переводчика). Также, дополнительный набор возможностей, который не очень аккуратно использует клиентскую библиотеку MySQL, все еще дорабатывается.
[4] - Атаки типа "SQL-впрыск" возможны, когда данные входят в запрос, заставляя его совершать неожиданные и/или злонамеренные действия. Пусть, для примера, дан простой запрос в PHP скрипте типа "DELETE FROM grades WHERE class_name='test_$class'". Атакующий может получить контроль над переменной $class и получить возможность an attacker who can gain control over the value of $class can force unintended deletes to occur by changing the value of $class to something like "oops' or class_name LIKE '%'".
7. Об авторах
Зак Грэнт (Zak Greant) - профессиональный защитник концепции Open Source, писатель и программист. Он работает в MySQL AB пропагандистом Сообщества. Зак поддерживает оба расширения PHP для работы с MySQL и является соавтором PHP Functions Essential Reference.
Георг Рихтер (Georg Richter) - создатель расширения mysqli. Он также поддерживает расширения mysql и ncurses. Он работает в MySQL AB Старшим Разработчиком и является членом Apache Software Foundation.
Теперь, когда вы знаете, что изменилось, мы начнем анализировать код, который демонстрирует, как выглядит и работает новое расширение. Весь самостоятельный код, приведенный в этой статье, использует базу данных "world", которая бесплатно доступна на сайте http://www.mysql.com/documentation/index.html.
3.1 Базовое использование
Вот простой скрипт, который соединяется с сервером MySQL, посылает запрос серверу с помощью этого соединения, выводит результаты запроса и затем освобождает результирующее множество запроса и закрывает соединение.
<?php /* Подключение к серверу MySQL */
$link = mysqli_connect(
'localhost', /* Хост, к которому мы подключаемся */
'user', /* Имя пользователя */
'password', /* Используемый пароль */
'world'); /* База данных для запросов по
умолчанию */ if
(!$link) {
printf("Невозможно подключиться к базе данных.
Код ошибки: %s\n", mysqli_connect_error());
exit;
} /* Посылаем запрос
серверу */
if
($result = mysqli_query($link, 'SELECT Name, Population FROM City
ORDER BY Population DESC LIMIT 5')) {
print(
"Очень крупные города:\n"); /* Выборка результатов запроса */
while( $row = mysqli_fetch_assoc($result) ){
printf("%s (%s)\n", $row['Name'], $row['Population']);
} /* Освобождаем используемую память */
mysqli_free_result($result);
} /* Закрываем соединение */
mysqli_close($link);
?>
Приведенный сценарий должен вывести что-то вроде: Очень крупные города:Mumbai (Bombay) (10500000)
Seoul (9981619)
Sao Paulo (9968485)
Shanghai (9696300)
Jakarta (9604900)
Как видно из кода, ext/mysqli и ext/mysql могут быть очень похожи. Единственным существенным различием является то, что процедурный стиль ext/mysqli несколько более "многословен".
Заметьте, что без проверки на ошибки приведенный скрипт мог бы дать сбой в любом месте и вывести пользователю мерзкое сообщение об ошибке.
3.2 Использование объектно-ориентированного интерфейса
Объектно-ориентированный интерфейс предоставляет немного более лаконичный и менее восприимчивый к ошибкам метод использования ext/mysqli. Код, приведенный ниже, производит те же действия, что и предыдущий, однако, имеются несколько ключевых отличий, на которые стоит обратить внимание:
- Нам не нужно явно задавать соединение, используемое в наших командах. Информация о подключении содержится в наших объектах $mysqli и $result и доступна при вызове соответствующих методов.
- Когда производится выборка из результирующего набора данных запроса с использованием fetch_assoc(), не нужно явно задавать идентификатор используемого результирующего набора. Также как и информация о подключении, он содержится в объекте $result.
<?php /* Подключение к серверу MySQL */
$mysqli = new mysqli('localhost', 'user', 'password', 'world');
if (
mysqli_connect_errno()) {
printf("Подключение к серверу MySQL
невозможно. Код ошибки: %s\n", mysqli_connect_error());
exit;
} /* Посылаем запрос
серверу */
if
($result = $mysqli->query('SELECT Name, Population FROM City
ORDER BY Population DESC LIMIT 5')) {
print("Очень крупные города:\n"); /* Выбираем результаты запроса: */
while( $row = $result->fetch_assoc() ){
printf("%s (%s)\n", $row['Name'], $row['Population']);
} /* Освобождаем память */
$result->close();
} /* Закрываем соединение */
$mysqli->close();
?>
4. Подготовленные
выраженияТеперь, когда мы разобрали азы использования расширения, рассмотрим несколько новых возможностей.
Подготовленные выражения предоставляют разработчикам возможность создавать запросы, которые являются более безопасными, имеют более высокую производительность и более удобны в написании.
Подготовленные выражения можно использовать двумя способами: с заданными параметрами и с заданными результатами.
4.1 С заданными параметрами
Подготовленные выражения с заданными параметрами позволяют создавать шаблоны запросов и хранить их на сервере MySQL. Когда нужно создать запрос, данные, заполняющие шаблон, отправляются серверу MySQL, где полностью сформированный запрос и выполняется.
Основной процесс создания и использования подготовленных выражений с заданными параметрами прост.
Создается шаблон запроса и посылается серверу MySQL. Сервер его получает, проверяет его корректность, чтобы убедиться, что он имеет смысл, и сохраняет его в специальном буфере. Затем сервер возвращает идентификатор, который может быть в дальнейшем использован для обращения к подготовленному выражению.
Когда нужно создать запрос, данные, заполняющие шаблон, отправляются серверу MySQL и полностью сформированный запрос выполняется.
В этом процессе заключено несколько очень важных деталей.
Тело шаблона отсылается серверу MySQL только один раз. Для выполнения выражения посылаются только данные, необходимые для заполнения шаблона.
Большая часть работы по проверке и обработке запроса проделывается только один раз, вместо того, чтобы делать это каждый раз.
Кроме того, для запросов, которые содержат небольшое количество дынных, расходы сильно уменьшены. Например, если у вас есть запрос типа:
INSERT INTO City (ID, Name) VALUES (NULL, 'Calgary');
то каждый раз при выполнении запроса нужно отослать лишь около 16 байт вместо обычных 60 или более байт. (Эти приближенные числа включают расходы на все данные вроде идентификатора подготовленного выражения, длины данных запроса - для безопасности бинарных данных - и т.д., но не включают расходы на строку запроса.)
Данные запроса не должны проходить через функции вроде mysql_real_escape_string(), чтобы убедиться, что нет угрозы атаки "SQL-впрыска"[4] Вместо этого, клиент и сервер MySQL работают так, чтобы убедиться, что посланные данные безопасно обработаны при их комбинировании с подготовленным выражением.
Шаблон запроса выглядит как-то так:
INSERT INTO City (ID, Name) VALUES (?, ?);
Знак '?' можно использовать в большинстве мест, где используются символьные данные, например запрос может быть переделан из
SELECT Name FROM City WHERE Name = 'Calgary';
в
SELECT Name FROM City WHERE name = ?;
Вот более полный пример, демонстрирующий весь процесс:
<?php
$mysqli = new mysqli('localhost', 'user', 'password', 'world'); /* Проверка соединения */
if (mysqli_connect_errno()) {
printf("Подключение невозможно:
%s\n", mysqli_connect_error());
exit();
} $stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?,
?, ?, ?)");
$stmt->bind_param('sssd', $code, $language, $official, $percent); $code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2; /* выполнение подготовленного
выражения */
$stmt->execute(); printf("%d Row inserted.\n", $stmt->affected_rows); /* Закрытие соединения и выражения*/
$stmt->close(); /* Очистить таблицу CountryLanguage */
$mysqli->query("DELETE FROM CountryLanguage WHERE
Language='Bavarian'");
printf("%d Row deleted.\n", $mysqli->affected_rows); /* Закрыть подключение */
$mysqli->close();
?>
Обратите внимание на то, что первым параметром bind_param() является короткая строка. Это строка формата, используемая для определения того, как объявленные параметры должны быть интерпретированы.
В случае вышеприведенного сценария 'sssd' означает, что значения первых трех параметров $code, $language и $official будут посланы как строки, а четвертый параметр $percent будет содержать значения типа double с плавающей запятой.
Для каждой заявленной переменной в bind_param(), должна быть своя буква в строке формата, которая означает, как переменная будет отправлена. Например
$stmt->bind_param('s', $foo);
$stmt->bind_param('si', $foo, $bar);
$stmt->bind_param('sid', $foo, $bar, $baz);
Объявление типов обеспечивает то, что расширение mysqli знает, как зашифровать данные для большей эффективности.
Определения типов очень просты: данные в заданных переменных будут обрабатываться как целочисленные, рациональные числа (double) или как строки.
Также имеется специальный тип, позволяющий отправлять блобы (большие бинарные объекты) порциями.
Следующая таблица иллюстрирует типы и возможности использования:
Идентификатор типа | Тип столбца |
i | Все INT типы |
d | DOUBLE и FLOAT |
b | BLOB'ы |
s | Остальные типы |
Подготовленные выражения с объявленными результатами позволяют привязывать переменные PHP-скрипта к значениям полей данных в результирующем множестве запроса.
Процесс объявления таков:
- Создать запрос.
- Попросить сервер MySQL заготовить запрос.
- Привязать переменные PHP к столбцам в заготовке запроса.
- Заставить сервер MySQL выполнить запрос.
- Запросить добавление нового ряда данных в привязанные переменные.
<?php
$mysqli = new mysqli("localhost", "user", "password", "world");
if (
mysqli_connect_errno()) {
printf("Подключение невозможно:
%s\n", mysqli_connect_error());
exit();
} /* Подготовленное выражение */
if ($stmt = $mysqli->prepare("SELECT Code, Name FROM Country ORDER
BY Name LIMIT 5")) {
$stmt->execute(); /* Привязывание переменных к заготовке
*/
$stmt->bind_result($col1, $col2); /* Выборка значений */
while ($stmt->fetch()) {
printf("%s %s\n", $col1, $col2);
} /* Закрытие оператора
$stmt->close();
}
/* Закрытие соединения */
$mysqli->close(); ?>
4.3 Использование заданных
параметров и результатов вместеВот более полный пример, демонстрирующий использование и заданных параметров, и заданных результатов одновременно:
<?php
$mysqli = new mysqli("localhost", "user", "password", "world");
if (
mysqli_connect_errno()) {
printf("Подключение невозможно:
%s\n", mysqli_connect_error());
exit();
} /* Подготовленное выражение */
if ($stmt = $mysqli->prepare("SELECT Code, Name FROM Country WHERE
Code LIKE ? LIMIT 5")) { $stmt->bind_param("s", $code);
$code = "C%"; $stmt->execute(); /* Объявление переменных для
заготовленного выражения*/
$stmt->bind_result($col1, $col2); /* Выборка значений */
while ($stmt->fetch()) {
printf("%s %s\n", $col1, $col2);
} /* Закрытие выражения */
$stmt->close();
}
/* Закрытие подключение */
$mysqli->close(); ?>
5. РезюмеВ этой статье мы привели обзор возможностей и архитектуры ext/mysqli, а также краткое изложение истории его развития. К этому моменту вы должны понимать, как использовать и получать выгоду от подготовленных выражений MySQL и должны чувствовать удобство использования объектно-ориентированного интерфейса к ext/mysqli.
6. Словарь терминов
ext/mysql - старое расширение PHP для работы с MySQL. Не поддерживает всех возможностей MySQL версий 4.1 и выше.
ext/mysqli - новое расширение PHP 5 для работы с MySQL. Поддерживает возможности MySQL версий от 3.22 до 5.0
Клиентская библиотека MySQL - Компонент MySQL RDBMS (MySQL Relational DataBase Management System - Система управления реляционной базой данных MySQL - прим. переводчика), который позволяет программам общаться с RDBMS.
Сервер MySQL - Компонент MySQL RDBMS, который обрабатывает и отвечает на запросы, управляет файловым представлением данных внутри базы и т.д.
[1] - Функция mysql_pconnect() была создана для предоставления механизма уменьшения затрат на установление и разрыв соединений с сервером MySQL. К сожалению, из-за взаимодействия между архитектурами сервера Apache и PHP, большой трафик на сайте, использующем pconnect, мог быстро загрязнить сервер MySQL большим количеством неиспользуемых соединений, которые мешали активным соединениям получать доступ к базе данных.
[2] - Возможности автоматического соединения позволяли определенным вызовам функций автоматически соединяться с базой данных (если правильная информация о соединении находилась в конфигурационном файле php.ini). Возможность соединения по умолчанию работала по следующему принципу. Последнее открытое соединение с базой MySQL становится используемым соединением, если параметр соединения не был явно указан в аргументах функции.
[3] - Это расширение все еще находится в стадии разработки. В то время как набор возможностей ядра должен быть действительно стабильным, ни MySQL 4.1, ни PHP 5.0 не имеют стабильных релизов (статья появилась до выхода PHP 5.0.0 - прим. переводчика). Также, дополнительный набор возможностей, который не очень аккуратно использует клиентскую библиотеку MySQL, все еще дорабатывается.
[4] - Атаки типа "SQL-впрыск" возможны, когда данные входят в запрос, заставляя его совершать неожиданные и/или злонамеренные действия. Пусть, для примера, дан простой запрос в PHP скрипте типа "DELETE FROM grades WHERE class_name='test_$class'". Атакующий может получить контроль над переменной $class и получить возможность an attacker who can gain control over the value of $class can force unintended deletes to occur by changing the value of $class to something like "oops' or class_name LIKE '%'".
7. Об авторах
Зак Грэнт (Zak Greant) - профессиональный защитник концепции Open Source, писатель и программист. Он работает в MySQL AB пропагандистом Сообщества. Зак поддерживает оба расширения PHP для работы с MySQL и является соавтором PHP Functions Essential Reference.
Георг Рихтер (Georg Richter) - создатель расширения mysqli. Он также поддерживает расширения mysql и ncurses. Он работает в MySQL AB Старшим Разработчиком и является членом Apache Software Foundation.
Комментариев нет:
Отправить комментарий