discuz 数据库操作类和函数详解

摘要:discuz 数据库操作类和函数详解...

作者:LoveCode标签:discuz,数据库,操作类,函数,详解

discuz 数据库操作类和函数详解如下:


C::t方法的简单使用:

一、C::t方法的好处:一是对象清楚,二是对形参格式化处理,三是可集中SQL语句,利于维护,四是安全性更高。     


二、具体用法,看下面的例子    
假设有一个名为test的插件,其中关于名为tbname的数据表操作的SQL    
旧式写法:

a.inc.php
<?php       
    $query = DB::query(‘select * from ‘.DB::table(‘tbname’).’ where id=’.$id);     
    while($v = DB::fetch($query)){     
        ……     
    }   
?>     

改造为C::t如下     
a.inc.php     
<?php   
    $query = C::t(‘#test#tbname’)->fetch_all($id);     
    foreach($query as $key => $value){     
        //或者将上面的两行变为一行,以减少行数,如下     
        foreach(C::t(‘#test#tbname’)->fetch_all($id) as $key => $value){     
        ……     
        }     
        ……
    }   
?>

再新建一个文件夹名为table,放在插件根目录下,在table中创建一个名为table_tbname.php的类文件(详见技术文库的相关说明),该文件的代码框架如下:

table_tbname.php     
<?php     
if (!defined(‘IN_DISCUZ’)) {     
    exit(‘Aecsse Denied’);     
}
 
class table_tbname extends discuz_table{     
    public function __construct() {     
        $this->_table = ‘tbname’;     
        $this->_pk = ‘id’;     
        parent::__construct();     
    }
    /*————在此处构造N多的自定义函数,本例中自定义的函数如下————-*/     
    public function fetch_all($id){     
        return DB::fetch_all(‘select * from %t where id=%d’,array($this->_table,$id));     
    }
} 
?>

 

C::t的运用有很多变化,但万变不离其宗,基本骨架就是上面的样子。    
注意:
1、自定义函数中有一个同名函数名fetch_all,虽然名字相同,但内涵不同。本例比较特殊,实际自定义函数名称你可以随便起,例如public function ldsjglfdjs($id),不一定非要像技术文库要求那样规则命名,当然,规则命名更易于辨认理解维护    

2、SQL中应当用格式化语句书写,以保障安全性,其中的%t代表了对数据表名的格式化,%d代表了对%id的格式化,其中的含义请查询技术文库"源DB类的改进",以了解掌握都有哪些格式符及其意义并加以运用。这里要特别注意%s和%i的区别,涉及安全处理问题    

3、虽然不是必须,但我仍建议并强调,以数组形参的形式作为DB层封装函数的第二参数(如果该函数有此参数的话),例如上例中的DB::fetch_all(SQL,array(第一形参,第二形参,…)),某些DB层封装的函数对于有无$arg这个数组参数有着不同的执行过程,将会影响对该参数中的变量是否进行安全过滤的行为    

4、SQL中的格式符一定要和数组形参中的变量一一对应,不能颠倒    

5、不提倡旧式的SQL写法,如DB::fetch_all(‘select * from ‘.DB::table(‘tbname’).’ where id=’.$id),原因见上面的3    

6、虽然不是必须,但C::t方法中自定义函数内最好不要使用诸如$_GET、$_POST之类的全局变量,应在C::t之前赋值后传入,否则,例如在DB::query中使用,如不进行过滤,其安全性将难以保障    

7、大多数被DB封装的常用数据库操作函数,其参数都将被做安全处理,因此要注意,虽然不是必须避免重复过滤,但应考虑执行效率问题。    

8、注意注意再注意,由于大多数被DB封装的常用数据库操作函数都要调用内部query函数,相当于在外部直接使用DB::query,而该函数有个特例情况,就是上面3所说,因此特别要考虑有无数组形参,进而加固安全性    

9、尽量将SQL集中放在C::t方法的类文件中,避免在应用层等其他文件中使用SQL,这样能使对象更清晰规范方便维护    
官方在source/class/table中已经内置了很多C::t方法,假设在插件设计时所用的方法是官方所没有的,而官方已创建了一个同名类文件,这时怎么办?那就按上面例子所示,自己创建一个同名类文件就行了,但应用层一定要用C::t(‘#插件标识符#不带前缀的表名’)来调用,而不是C::t(‘不带前缀的表名’)这种方式    
闲暇之余多看看source/class/discuz中的discuz_database.php和dizcuz_table.php这两个重要文件,烂熟其中被DB封装的常用函数的执行原理和机制,对自如运用C::t和加强安全认识有好处

函数功能
DB::table($tablename)获取正确带前缀的表名,转换数据库句柄,
DB::delete($tablename, 条件,条数限制)删除表中的数据
DB::insert($tablename, 数据(数组),是否返回插入ID,是否是替换式,是否silent)插入数据操作
DB::update($tablename, 数据(数组)条件)更新操作
DB::fetch(查询后的资源)从结果集中取关联数组,注意如果结果中的两个或以上的列具有相同字段名,最后一列将优先。
DB::fetch_first($sql)取查询的第一条数据fetch
DB::fetch_all($sql)查询并fetch
DB::result_first($sql)查询结果集的第一个字段值
DB::query($sql)普通查询
DB::num_rows(查询后的资源)获得记录集总条数
DB::_execute(命令,参数)执行mysql类的命令
DB::limit(n,n)返回限制字串
DB::field(字段名, $pid)返回条件,如果为数组则返回 in 条件
DB::order(别名, 方法)排序


注意:由于 discuzX1.5开始 里增加了SQL的安全性检测。因此,如果你的SQL语句里包含以下开头的函数 load_file,hex,substring,if,ord,char。 或者包含以下操作 intooutfile,intodumpfile,unionselect,(select’)都将被拒绝执行。

替换参数功能
%t表名,
%s字串,如果是数组就序列化
%f按 %F 的样式格式化字串
%d整数
%i不做处理
%n若为空即为0,若为数组,就用’,’ 分割,否则加引号
函数功能
C::t($tablename’)->count()获取表所有行数
C::t($tablename’)->update(键值,$data)更新键值数据
C::t($tablename’)->delete(键值)删除键值数据
C::t($tablename’)->truncate()清空表
C::t($tablename’)->insert($data, $return_insert_id,$replace)插入数据
C::t($tablename’)->fetch_all($ids)fetch 数据,可以是单一键值或者多个键值数组
C::t($tablename’)->fetch_all_field()fetch所有的字段名表
C::t($tablename’)->range($start, $limit, $sort)fetch值域范围
C::t($tablename’)->optimize()优化表
CopyRight © 2017 荒山本的官方网站 粤ICP备16049175号 All Right Service 网站地图(xml) 网站地图(html)