高分解答封装sql语句疑问！

帮我看看我下面写的算不算封装SQL语句！class mysql { //写了一个简单的查询mysql类，连接数据库什么的就不写了 public function findall($table) { //简化查询select1
$this->query("SELECT * FROM $table");
} public function select($table, $columnName, $condition = '') { //简化查询select2
$condition = $condition ? ' Where ' . $condition : NULL;

$this->query("SELECT $columnName FROM $table $condition");

}}$db = new mysql();//初始化实例$query = $db->findall("table where id=1");//调用查询1$query = $db->select("table","*","id=1");//调用查询2
查询2是不是比查询1来的更安全！sql语句封装具体有什么好处，就是安全吗？还是说这样子做感觉比较牛逼！我就只用查询1是不是就没什么效果！不安全，很容易看出来具体的语句！

解决方案 »

免费领取超大流量手机卡，每月29元包185G流量+100分钟通话, 中国电信官方发货

数据库语句虽然遵循一定标准，但是很多语句并不兼容，比如mysql的limit语句是其独有的，假设现在系统的数据库由mysql转成sqlite,或者oracle，你直接书写sql语句的代码不就肯定要改了。
我觉得第二种好一点,不过还不够好，你可以google->php CURD 参考下别人的代码。
举个简单例子，假设我继续封装个叫getTotalRow的函数，你的findAll可以重用，还是select能够重用？
语句: select count(*) as amount from table
方法一最方便，不过不利于扩展；方法二虽然写的过程中可能不怎么方便，不过却很利于以后的更新和扩展，不过应该考虑全面一些。像三楼的select count(*) as amount就不行，而像show column from table也不行吧。
最后一个语句当然是query了其实封装主要在生成sql语句上一是兼容数据库
二是自动加转义操作如果你只用mysql,直接写(要转义)是可以的,效率也高
给你看一个基于codeigniter框架扩展出来的model层，只是一个findAll
       /**
* 根据条件，查询并返回指定的数据集
*
* @access public
* @param array $data 表名
* @return cms_Model 返回自身
*/
public function fetchAll($where = null, $offset=0, $limit=20, $orderby=null, $count_all=true) {
$read_heap = $this->read_buffer;
$where_heap = $this->where_buffer; // 开启自动总条数统计
if ($count_all) {
$this->db->count_enable();
} // 设定表名和limit条数
if (!(isset($this->_query) && ($this->_query instanceof CI_DB_active_record))) {
$this->_query = $this->db->from($this->getTable()->name);
}
$this->_query->limit($limit, $offset); // 设置 order by 字段
if ($orderby != null) {
$this->_query->order_by($orderby);
} $this->parseWhere($where); // 返回查询结果，并且执行数据映射器
$this->read_buffer = $this->_query->get()->result_array();
$this->_doMutator($this->read_buffer, self::DATA_OUTPUT); // 执行触发器，处理需要特殊处理的字段——一般不需要执行，只是为了代码兼容
$this->_doTrigger(self::DATA_OUTPUT); // 关闭自动查询总条目
$this->db->count_disable(); // 不管有没有执行，清除 Db_active_rec 查询状态
$this->_query = NULL; // 返回数据集
$res_data = $this->read_buffer;
$this->read_buffer = $read_heap;
$this->where_buffer = $where_heap;
if($this->parsed_where) {
$this->parsed_where = false;
}
return $res_data;
}
就安全而讲, 在我看来没什么区别, 都可以在条件中输入类似 delete from Table的语句,
而且就字段来说, 都可以取得所有的字段
其实安全来讲，个人觉得还好！反正也都看得出来了，至少能猜得出来，倒是扩展性确实不错！便于以后扩展，如换数据库（sql server）等，至于好的类吗？我也不写了，给你一个比较全的类，自己研究吧！反正就是考虑的慎密一些！尽量考虑以后便于扩展！　　class MySQLDB
{
//MYSQL数据库操作类
//作者：熊毅
//版本：2.0(发行版)
//可以自由转载，修改请通知我[email protected]
//转载请保留以上声明
//使用说明：
//该类完全按照ADO的习惯书写的，用过ASP的人都觉得ASP连接数据库比PHP好用（这是我的感觉），
//但PHP得一个一个API地写，挺累，该类做了完全的封装
//创建类的实例时可以指定一个数据库表和选择的数据库，如：new MySQLDB("table","database");
//查询数据时Query后可以用GetValue得到相应的值，既可以是字段名也可以是已0开始的序号
//插入新值，先用AddNew后使用SetValue相应的字段名或序号和字段值，在用Update添加
//编辑时用Edit指定编辑记录的条件在使用SetValue，最后用Update添加
//在类使用过程中，sTName记录上次使用的数据库表名，当指定后可以直接使用，以后的操作默认在该表
//上进行操作，当然也可以每次指定特殊的表进行操作
//nErr指示是否操作出错，sErr记录最后一次出错的错误代码，记录了明确的有哪个函数引起的错误
//错误之处请指正
//欢迎来信与我交流编程经验：[email protected]
//我的CSDN：用户号：scxy；呢称：小熊，请多关照
//可以自由转载，修改请通知我[email protected]
//转载请保留以上声明
　　var $host="localhost"; //主机名
var $user="boot"; //用户名
var $password="oaserver"; //用户密码
var $linkid; //连接值
var $dbid; //数据库选择的结果值
var $sTName; //指定当前操作的数据库表
var $sErr; //错误代码
var $nErr; //指示是否有错误存在,0无错误,1有错误
var $nResult; //查询结果值
var $aFName; //保存FieldsName的数组
var $nRows; //查询结果中的行数
var $nCols; //查询结果中的列数
var $aNew; //添加在AddNew函数后的数据，以数组形式保存
var $NewEdit; //判断当前是否在进行添加操作，0表示没有，1表示在进行添加,2表示编辑
var $sEditCon; //指定编辑记录的条件
var $nOffset; //记录偏移量
var $EOF; //标记是否到记录集尾
var $sSQL; //最后一条执行的SQL语句
　　//执行Update所要用到的全局变量
var $sName; //字段名
var $sValue; //字段值AddNew时用
var $sEdit; //字段值Edit时用
　　function Initialize()
{
$this->nErr=0;
$this->NewEdit=0;
$this->nResult=-1;
$this->nCols=0;
$this->nRows=0;
$this->nOffset=0;
$this->EOF=true;
$this->sName="";
$this->sValue="#@!";
$this->sEdit="#@!";
unset($this->aFName);
unset($this->aNew);
}
function MySqlDB($TableName="",$database="slt") //构造函数
{
$this->Initialize();
$this->sTName=$TableName;
$this->linkid=mysql_connect($host,$user,$password);
if(!$this->linkid)
{
$this->nErr=1;
$this->sErr="MySqlDB:数据库连接出错，请启动服务!";
return;
}
$this->dbid=mysql_select_db($database);
if(!$this->dbid)
{
$this->nErr=1;
$this->sErr="MySqlDB:选择的数据库".$database."不存在!";
return;
}
}
　　function IsEmpty($Value)
{
if(is_string($Value)&&empty($Value))
return true;
return false;
}
　　function Destroy() //数据清除处理
{
mysql_query("commit");
mysql_close();
}
　　function PrintErr()
{
if($this->nErr==1)
{
echo($this->sErr." ");
}
else
{
echo("没有错误 ");
}
}
　　function Execute($SQL) //直接执行SQL语句
{
if(empty($SQL))
{
$this->nErr=1;
$this->sErr="Execute:执行语句不能为空！";
return false;
}
$this->sSQL=$SQL;
if(!mysql_query($SQL))
{
$this->nErr=1;
$this->sErr="Execute:SQL语句：".$SQL." MySql错误：".mysql_error();
return false;
}
return true;
}
　　function Query($TableName="",$SQL="*",$Condition="",$Order="",$Sequenc="") //在数据库里执行查询
{
$this->Initialize();
if(!empty($TableName))
$this->sTName=$TableName;
$strSQL="select ".$SQL." from ".$this->sTName;
if(!empty($Condition))
$strSQL=$strSQL." where ".$Condition;
if(!empty($Order))
$strSQL=$strSQL." order by ".$Order;
if(!empty($Sequenc))
$strSQL=$strSQL." ".$Sequenc;
$this->sSQL=$strSQL;
if(!$this->nResult=mysql_query($strSQL))
{
$this->nErr=1;
$this->sErr="Query:SQL语句：".$strSQL." MySql错误：".mysql_error()." ";
return;
}
$this->nOffset=0;
$this->nRows=mysql_num_rows($this->nResult);
$this->nCols=mysql_num_fields($this->nResult);
if($this->nRows>0)
$this->EOF=false;
else
$this->EOF=true;
unset($this->aFName);
$this->aFName=array();
for($i=0;$i<$this->nCols;$i++)
$this->aFName[$i]=strtolower(mysql_field_name($this->nResult,$i));
}
　　function MoveNext()
{
if($this->EOF)
{
$this->nErr=1;
$this->sErr="MoveNext:已经移到记录集末尾！";
return;
}
$this->nOffset++;
if($this->nOffset>=$this->nRows)
$this->EOF=true;
}
　　function MoveTo($Offset)
{
if(empty($Offset))
{
$this->nErr=1;
$this->sErr="MoveTo:必须指定偏移量! ";
return;
}
　　if(!$this->nResult)
{
$this->nErr=1;
$this->sErr="MoveTo:请先执行查询:Query";
return;
}
$this->nOffset=$Offset;
}
　　//得到指定行的指定列的值，返回字符串
//如果不指定Offset将取得下一行的值
//如果不指定nFields将取得该行的值，并已数组形式返回
function GetValue($nFields=-1,$Offset=-1)
{
if($this->nResult==-1)
{
$this->nErr=1;
$this->sErr="GetValue:请先执行Query()函数！";
return;
}
if($Offset>-1)
{
$this->nOffset=$Offset;
if($this->nOffset>=$this->nRows)
{
$this->nErr=1;
$this->sErr="GetValue:所要求的偏移量太大，无法达到！";
return;
}
}
if(!@mysql_data_seek($this->nResult,$this->nOffset))
{
$this->nErr=1;
$this->sErr="GetValue:请求不存在的记录！";
return;
}
$aResult=mysql_fetch_row($this->nResult);
if(is_int($nFields)&&$nFields>-1)
{
if($nFileds>$this->nCols)
{
$this->nErr=1;
$this->sErr="GetValue:所请求的列值大于实际的列值！";
return;
}
return $aResult[$nFields];
}
if(is_string($nFields))
{
$nFields=strtolower($nFields);
for($i=0;$i<$this->nCols;$i++)
{
if($this->aFName[$i]==$nFields)
break;
}
if($i==$this->nCols)
{
$this->nErr=1;
$this->sErr="GetValue:所请求的列不存在，请仔细检查！";
return;
}
return $aResult[$i];
}
return $aResult;
}
　　function AddNew($TableName="") //标志开始添加数据
{
$this->Initialize();
if(!empty($TableName))
$this->sTName=$TableName;
if($this->NewEdit>0)
{
$this->nErr=1;
$this->sErr="AddNew:你正在对数据库进行添加或更新操作！";
return;
}
if(empty($this->sTName))
{
$this->nErr=1;
$this->sErr="AddNew:想要添加的数据库表为空，可以在构造时指定，也可在AddNew()时指定！";
return;
}
unset($this->aNew);
$this->aNew=array();
$this->NewEdit=1;
$strSQL="select * from ".$this->sTName;
$this->sSQL=$strSQL;
if(!$this->nResult=mysql_query($strSQL))
{
$this->nErr=1;
$this->sErr="AddNew:SQL语句：".strSQL." MySql错误：".mysql_error();
return;
}
$this->nCols=mysql_num_fields($this->nResult);
unset($this->aFName);
$this->aFName=array();
for($i=0;$i<$this->nCols;$i++)
$this->aFName[$i]=strtolower(mysql_field_name($this->nResult,$i));
}
　　function Edit($Condition="",$TableName="") //对指定数据库表进行编辑
{
$this->Initialize();
if(!empty($TableName))
$this->sTName=$TableName;
$this->sEditCon=$Condition;
if(empty($this->sTName))
{
$this->nErr=1;
$this->sErr="Edit:在编辑前请先指定数据库表！";
return;
}
unset($this->aNew);
$this->aNew=array();
$this->NewEdit=2;
$strSQL="select * from ".$this->sTName;
$this->sSQL=$strSQL;
if(!$this->nResult=mysql_query($strSQL))
{
$this->nErr=1;
$this->sErr="Edit:SQL语句：".strSQL." MySql错误：".mysql_error();
return;
}
$this->nCols=mysql_num_fields($this->nResult);
unset($this->aFName);
$this->aFName=array();
for($i=0;$i<$this->nCols;$i++)
$this->aFName[$i]=strtolower(mysql_field_name($this->nResult,$i));
}
　　function SetValue($Index,$Value) //指定数据，跟在AddNew后执行;
{
if($this->NewEdit==0)
{
$this->nErr=1;
$this->sErr="SetValue:请先执行AddNew()或者Edit()！";
return;
}
if(is_int($Index))
{
if($Index<0||$Index>$this->nCols)
{
$this->nErr=1;
$this->sErr="SetValue:插入不存在的列值！";
return;
}
$this->aNew[$Index]=$Value;
$tmpIn=$Index;
}
elseif(is_string($Index))
{
$Index=strtolower($Index);
for($i=0;$i<$this->nCols;$i++)
{
if($this->aFName[$i]==$Index)
break;
}
if($i==$this->nCols)
{
$this->nErr=1;
$this->sErr="SetValue:插入不存在的列值！";
return;
}
$this->aNew[$i]=$Value;
$tmpIn=$i;
}
if(!empty($this->sName))
$this->sName.=",";
$this->sName.=$this->aFName[$tmpIn];
//根据当前字段的类型生成相应的新值
if($this->sValue!="#@!")
$this->sValue.=",";
else
$this->sValue="";
$ftype=@mysql_field_type($this->nResult,$i);
//echo($ftype.",".$this->aNew[$i].",".$i.":".$sValue." ");
switch($ftype)
{
case "string":
case "date":
case "datetime":
$this->sValue.=""".$this->aNew[$tmpIn].""";
$this->sEdit=""".$this->aNew[$tmpIn].""";
break;
case "int":
case "unknown":
$this->sValue.=$this->aNew[$tmpIn];
$this->sEdit=$this->aNew[$tmpIn];
break;
default:
$this->nErr=1;
$this->sErr="Update:字段名为".$this->aFName[$tmpIn]."的".$ftype."类型目前版本不支持，请用别的方法添加数据！";
return;
}
　　if($this->NewEdit==2)
$this->sName.="=".$this->sEdit;
}
　　function Update() //存储新值到数据库
{
$strSQL="";
　　if($this->NewEdit==0)
{
$this->nErr=1;
$this->sErr="Update:请先执行AddNew()或者Edit()，再用SetValue()添加值！";
return;
}
　　if(empty($this->sValue))
{
$this->nErr=1;
$this->sErr="Update:在数据为空的情况下，不能添加或修改数据！";
return;
}
　　switch($this->NewEdit)
{
case 1: //添加
$strSQL="insert into ";
$strSQL.=$this->sTName;
$strSQL.=" (".$this->sName.") ";
$strSQL.="values (".$this->sValue.")";
break;
case 2: //修改
$strSQL="update ";
$strSQL.=$this->sTName;
$strSQL.=" set ";
$strSQL.=$this->sName;
if(!empty($this->sEditCon))
$strSQL.=" where ".$this->sEditCon;
break;
default:
$this->nErr=1;
$this->sErr="Update:Update()生成SQL语句出错，请检查！";
return;
}
　　$this->sSQL=$strSQL;
if(!$this->nResult=mysql_query($strSQL))
{
$this->nErr=1;
$this->sErr="Update:SQL语句：".$strSQL." MySql错误：".mysql_error();
return;
}
//echo($this->sSQL." ");
//作清理工作
$this->NewEdit=0;
unset($this->aNew);
mysql_query("commit");
}
}