利用PHP的OOP特性實現數據保護

2024-05-04 23:03:58

字體：大中小

來源：轉載

供稿：網友

　　在php 4中，聲明變量通常使用var，而在php 5中，可使用面向對象編程（oop）的特性來自定義數據的可見性--即可訪問性，可見性在此與變量作用域非常類似，但提供了更好的控制機制，有以下三種類型的可見性修飾符：

　　public（默認）--變量可在全局范圍內訪問或修改。
　　protected--變量只能在類本身及直接派生（使用extends語句）類內訪問或修改。
　　private--變量只能在類內部訪問或修改。

　　與接口實現類似，在程序中違反這些規則將會導致嚴重的錯誤；且與接口類似的是，它們的存在純粹是為了方便程序員。但這并不意味著可以忽略它們，指定某個類成員變量的可見性，可保護對象內的數據免受外界影響。

　　假設有一個mysqldb類，一個$link變量在其中聲明為private，這意味著這個變量只能從對象內部使用$this變量訪問，這防止了類外其他對象或函數的意外覆蓋，在此，我們將使用可見性特性幫助我們創建一個query對象。

　　你可以把query當作一個單獨的實體，它可以執行，并且返回結果。一些數據庫系統也具有存儲過程，存儲過程與函數很相似，它們存儲查詢語句，并在調用時接受相應的參數，但mysql在5.1版本之前并沒有提供類似功能，某些其他類型的數據庫管理系統也沒有。

　　在本文中，將把上述兩個特性結合進示例的query對象中，示例將模擬一個基本的存儲過程，并在內部保存結果指針。目前，重點是從對象中執行query，在此可以調用mysqldb對象的query()函數。

　　可在query對象中定義如下的public函數：

　　__construct()--構造函數接受一個包含了實現db接口對象實例引用的參數。

　　prepare()--函數prepare()初始化query的存儲過程。它可能包含一個或多個有限的占位符，而其將會作為參數傳遞給execute()函數。占位符定義為與參數個數有關的一個冒號緊跟一個整數及與參數類型有關的一個字母。

　　包含占位符的一個簡單的query看起來像以下這樣：

select col1,col2 from table_name where col1=:1i

　　execute()--函數execute()將執行query。如果它被prepare()函數過早地初始化為一個存儲過程，任何傳遞進來的參數都會被作為存儲過程的執行參數，否則，第一個參數只會被作為查詢文本。函數execute()將返回執行查詢后的結果。

　　compile()--函數compile()與函數execute()類似，實際上，query并沒有執行，而是替換查詢字符串中所有占位符，接受存儲過程的參數，并返回query的編譯版本。

　　受保護的成員

　　正如上面所提到的，可見性的概念可用于隱藏對象的內部工作，保護內部工作所需的數據完整性。前面已經解釋，query返回的結果指針將會保存為protected屬性，在此使用保護成員是因為從query對象派生出來的特定數據庫query對象可能會重載某些核心功能。

　　深掘代碼

　　理論說夠了，現在開始編寫代碼，首先，創建一個例1所示的模板：

　　例1：數據庫query類的一個模板

class dbquery
{
　/**
　*保存一個實現了db接口對象的引用。
　*/
　protected $db;

　/**
　*如果是一個存儲過程，設為true。
　*/
　protected $stored_procedure = false;

　/**
　*保存一個刪除了所有字符串的query。
　*/
　private $query;

　/**
　*用于在sql中匹配引號。
　*/
　private static $quote_match = "/(".*(?db = $db;
}

public function prepare($query)
{
　$this->stored_procedure = true;
}

public function compile($args)
{}

public function execute($query)
{}
}

　　函數prepare

　　為使用例1中的模板，你要做的第一件事是構建好prepare()函數，為確保無帶引號的字符被偶然解析為占位符，函數應該移除query內所有字符串，并把它們臨時存儲在一個數組內。而字符串本身也會被占位符取代，其通常被識別為不應該在sql語句中出現的的字符串序列。在query的編譯期間，過程占位符會首先被替換，接著把字符串放回query中，這是通過preg_replace()函數，和另一個用作preg_replace()函數的helper回調函數完成的。

　　例2：prepare()函數

/**
* 把query準備為一個存儲過程。
* @param string $query prepared query text
* @return void
*/
public function prepare($query)
{
　$this->stored_procedure = true;
　$this->quote_store = array(); //清除引號
　$this->query = preg_replace(self::$quote_match, '$this->sql_quote_replace("1"?"1":'2')', $query);
}

private function sql_quote_replace($match)
{
　$number = count($this->query_strings);
　$this->query_strings[] = $match;
　return "$||$$number";
}
　　在此留意對靜態quote_match屬性private的使用，還有quote_store屬性和sql_quote_replace()函數。相比protected，在此定義為private更能確保任何重載query類prepare()方法的子類使用其自身的機制來剔除引號。

　　函數compile

　　下一步是構建compile()與execute()函數。

　　函數compile()如例3中所示，功能如下：

　　·接受的參數數目可變（即可變參數），其將匹配query中的占位符。

　　·檢查占位符是否為正確的數據類型，并把它替換為參數中的值。

　　·把query作為字符串返回，但不執行它。

　　·如果query對象沒有使用prepare()函數初始化為一個存儲過程，將拋出一個異常。

　　例3：compile()函數

/**
* 返回編譯的query，但并不執行它。
* @param mixed $args,... query parameters
* @return string compiled query
*/
public function compile($params)
{
　if (! $this->stored_procedure) {
　　throw new exception("存儲過程未被初始化！");
　}

　/* 替代參數 */
　$params = func_get_args(); // 取得函數參數
　$query = preg_replace("/(?query);

　return $this->add_strings($query); //把字符串放回query中
}

/**
* 重新插入被prepare()函數移除的字符串。
*/
private function add_strings($string)
{
　$numbers = array_keys($this->query_strings);
　$count = count($numbers);
　$searches = array();
　for($x = 0; $x < $count; $x++) {
　　$searches[$x] = "$||${$numbers[$x]}";
　}

　return str_replace($searches, $this->query_strings, $string);
}

/**
* 每次執行，存儲過程中都有一個占位符被替換。
*/
protected function compile_callback($params, $index, $type)
{
　--$index;

　/* 拋出一個異常 */
　if (! isset($params[$index])) {
　　throw new exception("存儲過程未收到所需的參數數目！");
　}

　/* 可以在此添加別的類型，如日期和時間。 */
　switch ($type) {
　　case 's':
　　　return '"' . $this->db->escape_string($params[$index]) . '"';
　　　break;
　　case 'i':
　　　return (int) $params[$index];
　　　break;
　　case 'n':
　　　return (float) $params[$index];
　　default:
　　　throw new exception("存儲過程中指定的數據類型 '$type' 無法識別。");
　}
}

　　函數compile()中使用了兩個額外的函數，其中compile_callback()函數是作為在preg_replace()函數調用中的回調函數，每一次在query中查找到占位符，并把它替換為傳給compile函數的值時，都會執行它。

　　函數execute

　　最后，還需要構建函數execute()，函數execute()編譯query并且使用db對象執行它，而db對象在此是用于初始化dbquery對象的。請注意在例4中，是怎樣運用函數call_user_func_array()來得到編譯后的query的，而這樣做的原因是，函數execute()要直到運行時，才能確定傳遞給它的參數數目。

　　例4：execute()函數

/**
*
* 執行當前query，并把占位符替換為所提供的參數。
*
* @param mixed $queryparams,... query parameter
* @return resource a reference to the resource representing the executed query.
*/
public function execute($queryparams = '')
{
　//例如：select * from table where name=:1s and type=:2i and level=:3n
　$args = func_get_args();

　if ($this->stored_procedure) {
　　/* 調用函數compile以取得query */
　　$query = call_user_func_array(array($this, 'compile'), $args);
　} else {
　　/* 如果存儲過程未被初始化，就把它作為標準query執行。*/
　　$query = $queryparams;
　}

　$this->result = $this->db->query($query);

　return $this->result;
}

　　全部整合起來

　　為演示怎樣使用query對象，下面構造了一個小例子，其將把dbquery對象作為存儲過程使用，并檢查是否輸入了正確的用戶名與密碼，請看例5：

　　例5：

require 'mysql_db.php5';
require_once 'query2.php5';

$db = new mysqldb;
$db->connect('host', 'username', 'pass');
$db->query('use content_management_system');

$query = new dbquery($db);

$query->prepare('select fname,sname from users where username=:1s and pword=:2s and expire_time<:3i');

if ($result = $query->execute("visualad", "apron", time())) {
　if ($db->num_rows($result) == 1) {
　　echo('憑證正確。');
　} else {
　　echo('憑證不正確，會話已過期。');
　}
} else {
　echo('執行query時發生錯誤：' . $db->error());
}

　　在本文中，你已看到了如何在聲明類變量時，利用訪問修飾符private、protected和public，保護數據和限制數據對象的可見性，同時，在php 5中，這些概念也可用于其他的數據類，保護其重要的內部數據。

上一篇：php5手動最簡安裝方法

下一篇：WAP與PHP程序設計之基礎篇