<?php
$query = $db->query('YOUR QUERY HERE');
如果使用 OCI8 驱动程序,SQL 语句不应以分号 (;) 结尾。PL/SQL 语句应以分号 (;) 结尾。
$db->simpleQuery()
simpleQuery() 方法是 $db->query() 方法的简化版本。
它不会返回数据库结果集,也不会设置查询计时器或编译绑定数据或存储调试查询。它只是让你提交一个查询。大多数用户很少使用此功能。
它返回数据库驱动程序的 “execute” 函数返回的任何内容。对于写入类型的查询(如 INSERT、DELETE 或 UPDATE 语句),这通常在成功或失败时返回 true/false(这确实是应该使用它的地方),并在具有可获取结果的查询成功时返回资源/对象。
<?php
if ($db->simpleQuery('YOUR QUERY')) {
echo 'Success!';
} else {
echo 'Query failed!';
例如,PostgreSQL 的 pg_exec() 函数总是在成功时返回资源,即使对于写入类型的查询也是如此。所以如果你正在查找布尔值,请记住这一点。
在许多数据库中,保护表格和字段名称(例如在 MySQL 中使用反引号)是可取的。查询构建器查询会自动受保护,但是如果你需要手动保护一个标识符,可以使用:
<?php
$db->protectIdentifiers('table_name');
尽管查询构建器会尽力正确引用你提供的任何字段和表名,但请注意它并不适用于任意用户输入。请勿将未经过处理的用户数据提供给它。
如果在数据库配置文件中指定了前缀,此函数也会将 表前缀 添加到表格名,以启用前缀,请通过第二个参数设置 true (布尔值):
<?php
$db->protectIdentifiers('table_name', true);
$sql = 'SELECT * FROM some_table WHERE id = ? AND status = ? AND author = ?';
$db->query($sql, [3, 'live', 'Rick']);
查询中的问号自动替换为查询函数第二个参数数组中的值。
绑定也适用于数组,它将转换为 IN 集:
<?php
$sql = 'SELECT * FROM some_table WHERE id IN ? AND status = ? AND author = ?';
$db->query($sql, [[3, 6], 'live', 'Rick']);
生成的查询将是:
SELECT * FROM some_table WHERE id IN (3,6) AND status = 'live' AND author = 'Rick'
使用绑定的次要好处是值会自动转义,从而产生更安全的查询。
你不必记住手动转义数据 - 引擎会自动为你完成这一操作。
除了使用问号标记绑定值的位置外,你还可以命名绑定,允许传入值的键与查询中的占位符匹配:
<?php
$sql = 'SELECT * FROM some_table WHERE id = :id: AND status = :status: AND author = :name:';
$db->query($sql, [
'id' => 3,
'status' => 'live',
'name' => 'Rick',
查询中的每个名称必须用冒号括起来。
if (! $db->simpleQuery('SELECT `example_field` FROM `example_table`')) {
$error = $db->error(); // Has keys 'code' and 'message'
大多数数据库引擎都支持某种形式的预编译语句,允许你预先准备一次查询,然后使用新的数据集多次运行该查询。这消除了 SQL 注入的可能性,因为数据采用不同于查询本身的格式传递给数据库。当需要多次运行相同的查询时,它也可以快得多。但是,对每个查询都这样做可能会大大降低性能,因为调用数据库的频率加倍。由于查询生成器和数据库连接已经为你处理了数据的转义,所以安全方面已经为你照顾好了。但是,有时候你需要通过运行预编译语句或预处理查询来优化查询。
这可以通过 prepare() 方法轻松完成。它接受一个参数,该参数是一个返回查询对象的闭包。查询对象由任何“final”类型的查询自动生成,包括 insert、update、delete、replace 和 get。通过使用查询构建器运行查询来实现这一点最简单。查询实际上不会运行,值也不重要,因为它们从未应用,而是充当占位符。这将返回一个 PreparedQuery 对象:
<?php
$pQuery = $db->prepare(static function ($db) {
return $db->table('user')->insert([
'name' => 'x',
'email' => 'y',
'country' => 'US',
如果不想使用查询构建器,可以使用问号作为值占位符手动创建查询对象:
<?php
use CodeIgniter\Database\Query;
$pQuery = $db->prepare(static function ($db) {
$sql = 'INSERT INTO user (name, email, country) VALUES (?, ?, ?)';
return (new Query($db))->setQuery($sql);
如果数据库在预编译语句阶段需要一个选项数组传递给它,则可以在第二个参数中传递该数组:
<?php
use CodeIgniter\Database\Query;
$pQuery = $db->prepare(static function ($db) {
$sql = 'INSERT INTO user (name, email, country) VALUES (?, ?, ?)';
return (new Query($db))->setQuery($sql);
}, $options);
一旦你有了预处理的查询,就可以使用 execute() 方法实际运行查询。你可以根据查询中的占位符数量传递任意多个变量。必须传入的参数数目必须与查询中的占位符数目匹配。它们还必须以在原始查询中出现的占位符的顺序传递:
<?php
// Prepare the Query
$pQuery = $db->prepare(static function ($db) {
return $db->table('user')->insert([
'name' => 'x',
'email' => 'y',
'country' => 'US',
// Collect the Data
$name = 'John Doe';
$email = '[email protected]';
$country = 'US';
// Run the Query
$results = $pQuery->execute($name, $email, $country);
对于“写入”类型的查询,它返回 true 或 false,指示查询的成功或失败。对于“读取”类型的查询,它返回一个标准的 结果集。
除了这两个主要方法之外,预处理查询对象还有以下方法:
close()
虽然 PHP 在数据库关闭所有打开的语句方面做得很好,但是当不需要预处理语句时关闭它总是一个好主意:
<?php
if ($pQuery->close()) {
echo 'Success!';
} else {
echo 'Deallocation of prepared statements failed!';
从 v4.3.0 开始, close() 方法在所有 DBMS 中释放预编译语句。以前,它们在 Postgre、SQLSRV 和 OCI8 中没有被释放。
getQueryString()
这将返回预处理查询的字符串。
hasError()
如果最后一个 execute() 调用产生任何错误,则返回布尔值 true/false。
getErrorCode()
getErrorMessage()
如果遇到任何错误,可以使用这些方法检索错误代码和字符串。
在内部,所有查询都作为 CodeIgniter\Database\Query 的实例进行处理和存储。此类负责绑定参数,否则准备查询,并存储有关其查询的性能数据。
当你只需要检索最后一个查询对象时,使用 getLastQuery() 方法:
<?php
$query = $db->getLastQuery();
echo (string) $query;
if ($query->hasError()) {
echo 'Code: ' . $query->getErrorCode();
echo 'Error: ' . $query->getErrorMessage();
