业界新闻 电子商务 创业故事 人物访谈 移动互联 云计算 搜索引擎 建站资讯 营销新闻 运营战略 IT会议 休闲杂谈
Discuz!X下载 Discuz!F下载 Discuz资源 DEDECMS资源 PHPCMS资源 ECSHOP资源
Discuz资料库 W3C手册 Discuz教程 DEDECMS教程 PHPCMS教程 ECSHOP教程
DZ应用下载 DZPAY支付 服务器代维 技术支持
风乱流年发表于 2018-08-21 10:02风乱流年 最后回复于 2018-08-21 10:02 [复制链接] 3344 0
使用道具 举报
积极参互助,解决数超过20
积极宣传本站,为本站带来更多的用户访问量
使用QQ帐号登录论坛的用户
注册账号后积极发帖的会员
社交达人,好友数达20人
本站管理团队
风乱流年
创始人
发表回复 回帖并转播 回帖后跳转到最后一页
二、具体用法,看下面的例子
假设有一个名为test的插件,其中关于名为tbname的数据表操作的SQL
旧式写法
a.inc.php
改造为C::t如下
a.inc.php
table_tbname.php
注意:
1、自定义函数中有一个同名函数名fetch_all,虽然名字相同,但内涵不同。本例比较特殊,实际自定义函数名称你可以随便起,例如public function ldsjglfdjs($id),不一定非要像技术文库要求那样规则命名,当然,规则命名更易于辨认理解维护
2、SQL中应当用格式化语句书写,以保障安全性,其中的%t代表了对数据表名的格式化,%d代表了对%id的格式化,其中的含义请查询技术文库"源DB类的改进",以了解掌握都有哪些格式符及其意义并加以运用。这里要特别注意%s和%i的区别,涉及安全处理问题
3、虽然不是必须,但我仍建议并强调,以数组形参的形式作为DB层封装函数的第二参数(如果该函数有此参数的话),例如上例中的DB::fetch_all(SQL,array(第一形参,第二形参,...)),某些DB层封装的函数对于有无$arg这个数组参数有着不同的执行过程,将会影响对该参数中的变量是否进行安全过滤的行为
4、SQL中的格式符一定要和数组形参中的变量一一对应,不能颠倒
5、不提倡旧式的SQL写法,如DB::fetch_all('select * from '.DB::table('tbname').' where id='.$id),原因见上面的3
6、虽然不是必须,但C::t方法中自定义函数内最好不要使用诸如$_GET、$_POST之类的全局变量,应在C::t之前赋值后传入,否则,例如在DB::query中使用,如不进行过滤,其安全性将难以保障
7、大多数被DB封装的常用数据库操作函数,其参数都将被做安全处理,因此要注意,虽然不是必须避免重复过滤,但应考虑执行效率问题。
8、注意注意再注意,由于大多数被DB封装的常用数据库操作函数都要调用内部query函数,相当于在外部直接使用DB::query,而该函数有个特例情况,就是上面3所说,因此特别要考虑有无数组形参,进而加固安全性
9、尽量将SQL集中放在C::t方法的类文件中,避免在应用层等其他文件中使用SQL,这样能使对象更清晰规范方便维护
官方在source/class/table中已经内置了很多C::t方法,假设在插件设计时所用的方法是官方所没有的,而官方已创建了一个同名类文件,这时怎么办?那就按上面例子所示,自己创建一个同名类文件就行了,但应用层一定要用C::t('#插件标识符#不带前缀的表名')来调用,而不是C::t('不带前缀的表名')这种方式
闲暇之余多看看source/class/discuz中的discuz_database.php和dizcuz_table.php这两个重要文件,烂熟其中被DB封装的常用函数的执行原理和机制,对自如运用C::t和加强安全认识有好处
类定义文件
DB类:
文件\source\class\class_core.php
文件\source\class\discuz\discuz_database.php
DB类封装常用方法:
数据库类定义在目录\source\class\table\
使用方法:C::t('tablename')->method();
插件新增的表mytablename
放置在目录:source/plugin/mypluginid/table/table_mytablename.php
使用类名:table_mytablename
使用用法:C::t('#mypluginid#mytablename')->method();