PHP + MySQL · 2 Applicazioni di Rete – M. Ribaudo - DISI browser Apache PHP engine MySQL server...

1

Applicazioni di Rete – M. Ribaudo - DISI

Programmazione lato server

PHP + MySQL


Cosa vediamo …

request

response

web client

web server

database server

2


browser ApachePHPengine

MySQLserver

Cosa vediamo …


Esempio: negozio virtuale

3


Esempio: negozio virtuale


MySQL

“ … MySQL is a very fast, robust,relational database managementsystem. The MySQL server controlsaccess to your data to ensurethat multiple users can work withit concurrently … MySQL has beenpublicly available since 1996,but has a development historygoing back to 1979 … ”

4


MySQL monitor

� Digitando

> mysql –h hostname –u username –pEnter password: ******

si invoca il monitor MySQL, un client chepermette di utilizzare il server MySQL

Welcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connection id is 17 to server version: 4.0.22-log

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql>


MySQL: comandi utili

mysql> show databases;

mysql> use <nomedb>;

mysql> show tables;

mysql> describe <nometable>;

5



> mysql -h localhost -u ribaudo -p

Enter password:

Welcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connection id is 17 to server version: 4.0.22-log

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> use mysql;

ERROR 1044: Access denied for user: 'ribaudo@localhost' todatabase 'mysql'

mysql> use negozio;Reading table information for completion of table and column names

You can turn off this feature to get a quicker startup with -A

Database changed

mysql>


MySQL: creazione di un database

� Database dell’esempio

animali clientiordini

id cliente

nomecognomeindirizzocittaemail

id animale

fotonascita

razzadescrizione

prezzo

data_ordine

6



mysql> CREATE DATABASE negozio;

mysql> CREATE TABLE animali (

id_animale INT NOT NULL AUTO_INCREMENT,

foto CHAR(255) NOT NULL ,

razza CHAR(100) NOT NULL ,

nascita DATE NOT NULL ,

descrizione TEXT,

prezzo FLOAT(4,2),

PRIMARY KEY (id_animale) );

NB: tutte le istruzioni devono sempre terminare con ;



mysql> CREATE TABLE clienti (id_cliente INT NOT NULL AUTO_INCREMENT,

nome CHAR(100) ,

cognome CHAR(100) NOT NULL ,

indirizzo CHAR(255) NOT NULL ,citta CHAR(100) NOT NULL ,

email CHAR(100) NOT NULL ,

PRIMARY KEY (id_cliente) );

mysql> CREATE TABLE ordini (id_cliente INT NOT NULL ,id_animale INT NOT NULL ,

data DATE NOT NULL ,

PRIMARY KEY (id_cliente , id_animale) );

7


MySQL: popolare il database

mysql> INSERT INTO animali(id_animale,foto,razza,nascita,descrizione,prezzo)

VALUES

(NULL,‘images/pappagalli.jpg’, ‘Pappagallusgiallus’, ‘2002-12-21’, ‘Coppia di pappagalli

(maschio e femmina) bla bla …’);

Poichè id_animale è di tipo AUTO_INCREMENT si può specificare il valore NULL(oppure nessun valore), lasciando a MySQL il compito di creare il valore perquesto campo



Si può salvare il codice SQL che serve percreare e popolare un database in un file ditesto, es. negozio.sql, e poi usare il comando

$ mysql –u username –p < negozio.sql;

$ Enter password: ******

9


MySQL: front-end

� Per fortuna esistono dei pacchetti software(open source) che forniscono l’accesso adun server MySQL mediante un’interfacciagrafica più o meno user-friendly …

� Useremo phpMyAdmin


MySQL: phpMyAdmin

10


MySQL: utenti

� Un server MySQL può gestire più utenti

�L’utente root deve essere usato solo perl’amministrazione del DBMS

�Per ogni utente che deve usare il sistema(ancor meglio, per ogni applicazione web)si dovrebbero definire1) username e 2) password

� Per il progetto di laboratorio avete giàgli utenti sul server: ar04xy


MySQL: privilegi

“ … A privilege is the right to perform aparticular action on a particular object,and is associated with a particular user.You can create a user within MySQL, yougrant her a set of privileges to specifywhat she can and cannot do within thesystem …”

“ … principle of Least Privilege: a user (orprocess) should have the lowest level ofprivilege required in order to perform histask assigned …”

11


MySQL: privilegi

� MySQL fornisce 4 livelli di privilegi� Global, Database, Table, Column

� Per assegnare (cancellare) un privilegio adun utente si usa il comando GRANT (REVOKE)

mysql> GRANT <privileges> [columns]ON <item>

TO <username> [IDENTIFIED BY ‘<password>’]

[WITH GRANT OPTION];


MySQL: privilegi

� I privilegi sono espressi mediante unelenco di nomi separati dalla virgola

� MySQL permette di definire privilegi perl’utente generico, privilegi perl’amministratore, e dei privilegi speciali

� Per l’utente generico si possonospecificare i seguenti privilegi (che

corrispondono alle operazioni che si possono fare su un databasecon SQL)

SELECT, INSERT, UPDATE, DELETE,INDEX, ALTER, CREATE, DROP

12


MySQL: privilegi

� Su speedy

mysql> GRANT select, insert, update, delete,

index, alter, create, drop

ON ar04xy.*

TO ar04xy

IDENTIFIED BY ‘*****’;

tutte le tabelle del vostro database

vostro utente

vostra password


MySQL: privilegi

� I privilegi sono memorizzati in alcunetabelle del database di sistema mysql� mysql.user

� mysql.db� mysql.tables_priv

� mysql_column_priv

� Invece di usare il comando GRANT si possonomodificare direttamente queste tabelle

� Perchè il server MySQL “senta” le modifichesui privilegi ci vuole il comando

mysql> FLUSH PRIVILEGES;

13


Accesso a MySQL mediante PHP

� I passi fondamentali sono

1. Controllare e filtrare i dati in arrivodell’utente

2. Stabilire una connessione con il database

3. Interrogare il database

4. Ottenere il risultato

5. Formattare il risultato per l’utente


Accesso a MySQL mediante PHP

� Esistono molte funzioni di libreriache permettono di portare a terminei passi 2, 3, 4

� Se si usa MySQL server, queste funzioniiniziano con il prefisso mysql_

� Nel caso di SQL server iniziano con sql_

� Nel caso di Oracle iniziano con oci_

Quest’anno useremo PEAR::DB

14


1) Controllare i dati in arrivo

$nomevar = $_POST[“…”];

$nomevar = trim($nomevar)

$nomevar = addslashes($nomevar)$nomevar = stripslashes($nomevar)In alternativa, nel file php.ini

magic_quotes_gpc Onmagic_quotes_runtime On

$nomevar = htmlspecialchars($nomevar)$nomevar = strip_tags($nomevar)


2) Stabilire una connessione con il database

<?php

$db = mysql_pconnect(“localhost”,“username”,“password”);

if (!$db) {

echo “** Attenzione, non riesco a creare laconnessione”;

exit;

}

mysql_select_db(“nomedb") ordie ("** Attenzione, non trovo il database");

?>

15


2) Stabilire una connessione con il database

mysql_pconnect(): crea una connessione persistente

mysql_connect(): la connessione viene chiusa quandotermina lo script

La funzione die() permette di terminare l’esecuzione

di uno script fornendo un messaggio di errore.

Si può anche richiamare una funzione, es.

function err_msg(){

echo “Si è verificato il seguente errore:”;

echo mysql_error();

}die(err_msg());


3) Interrogare il database

$query=“select attr1,…, attrn from … where …”;

$res = mysql_query($query);

attr1 attr2 attrn

false

16


4) Ottenere il risultato

$num_res = mysql_num_rows($res);

$row = mysql_fetch_array($res);

attr1 attr2 attrn

$row[“attr1”] $row[“attr2”] $row[“attrn”]


4) Ottenere il risultato

$row = mysql_fetch_row($res);

$row = mysql_fetch_object($res);

$row[0] $row[1] $row[n]

attr1

attr2

attrn

$row->attr1$row->attr2…$row->attrn

17


5) Formattare il risultato per l’utente

…echo “<tr>”;echo “<td>”.stripslashes($row[“attr1”]);echo “</td>\n”;echo “<td>”.stripslashes($row[“attr2”]);echo “</td>\n”;…echo “<td>”.stripslashes($row[“attrn”]);echo “</td>\n”;echo “</tr>”…


Insert / Update / Delete

� Si deve scrivere la query

� Supponiamo di voler inserire un nuovocliente nel database di SpesaClick

$nome = trim($_POST[“nome”]);$nome = addslashes($nome);$cogn = trim($_POST[“cognome”]);$cogn = addslashes($cognome);$indr = trim($_POST[“indirizzo”]);$indr = addslashes($indirizzo);…

Nome

Cognome

Indirizzo

18



Dopo aver validato l’input si scrive laquery

$query =“INSERT INTO clienti(nome, cognome, indirizzo, …)VALUES(`$nome’, ‘$cogn’, ‘$indr’, …)”;

NB: Bisogna fare attenzione all’alternanza tra gli apici!



Si esegue la query

$res = mysql_query($query);

Poi si può trovare il numero di record

che sono stati modificati

$affected_rows =mysql_affected_rows[$res];



$affected_rows =mysql_affected_rows[$res];

19


PEAR::DB abstraction layer

� Insieme di classi che permettono diastrarre dal DBMS sottostante

� Le funzioni mysql_… vengono sostituiteda funzioni generali che si occupanodi redirigere le chiamate al DBMSMySQL

� Per usare PEAR::DB è necessarioincludere la libreria DB.php

require_once(‘DB.php’);


PEAR::DB – 2) Stabilire una connessione

� Stabilire una connessione

� Stringa di connessione

$db = DB::connect($dsn, true);$db = DB::connect($dsn, true);

$dsn = “mysql://$user:$pass@host/$db_name”;$dsn = “mysql://$user:$pass@host/$db_name”;

20


PEAR::DB – 2) Stabilire una connessione

� Controllo della connessione

if (DB::isError($db) {echo $db->getMessage();exit;

}

if (DB::isError($db) {echo $db->getMessage();exit;

}


PEAR::DB – 3) Interrogare il database

� Esecuzione della query

� SELECT: cardinalità del risultato

$res = $db->query($query);$res = $db->query($query);

$num_res = $res->numRows();$num_res = $res->numRows();

21


PEAR::DB – 4) Ottenere il risultato

� Ottenere il risultato

$row = $res->fetchRow(DB_FETCHMODE_ASSOC);

$row = $res->fetchRow(DB_FETCHMODE_ORDERED);

$row = $res->fetchRow(DB_FETCHMODE_OBJECT);

$row = $res->fetchRow(DB_FETCHMODE_ASSOC);

$row = $res->fetchRow(DB_FETCHMODE_ORDERED);

$row = $res->fetchRow(DB_FETCHMODE_OBJECT);


PEAR::DB – 5) Formattare il risultato

…echo “<ul>”;

// per ogni record nel risultato

for ($i=0; $i<$num_res; $i++) {

// estraggo il record

$row = $res->fetchRow(DB_FETCHMODE_ASSOC);echo “<li>” . stripslashes($row[‘attr1’]). “</li>”;echo “<li>” . stripslashes($row[‘attr2’]). “</li>”;

}echo “</ul>”;…

…echo “<ul>”;

// per ogni record nel risultato

for ($i=0; $i<$num_res; $i++) {

// estraggo il record

$row = $res->fetchRow(DB_FETCHMODE_ASSOC);echo “<li>” . stripslashes($row[‘attr1’]). “</li>”;echo “<li>” . stripslashes($row[‘attr2’]). “</li>”;

}echo “</ul>”;…

22


PEAR::DB - Insert / Update / Delete

Si costruisce la query e la si esegue

$res = $db->query($query);



$affected_rows = $db->affectedRows();



$affected_rows = $db->affectedRows();


PEAR::DB vantaggi/svantaggi

� Si deve ricordare un solo insieme dimetodi per l’accesso al database

� Il codice NON cambia se cambia ilDBMS, basta solo modificare la stringadi connessione

� Le funzioni di libreria native (es.mysql_ …) sono più veloci.

23


Per il progetto …

� Userete PEAR::DB

� ImportantePer motivi di sicurezza le istruzionidi connessione al database (ricordateche qui memorizzate username epassword) devono stare su un file aparte, possibilmente al di fuori delsotto albero visibile tramite ilbrowser

PHP + MySQL · 2 Applicazioni di Rete – M. Ribaudo - DISI browser Apache PHP engine MySQL server...

Documents

Transcript of PHP + MySQL · 2 Applicazioni di Rete – M. Ribaudo - DISI browser Apache PHP engine MySQL server...