Строим свою CMS на PHP и MySQL. Часть 2

В нашей CMS Article будет единственным классом PHP. Он будет обслуживать задачи сохранения статьи в базе данных и получения материалов для вывода на страницах проекта. Как только мы построим данный класс будет действительно легко создать другие скрипты для создания, обновления, вывода и удаления статей.

В нашей папке cms создаем каталог classes. В папке classes создаем новый файл с именем Article.php и копируем в него следующий код:



Файл получается достаточно длинным, но код очень простой. Разберем его подробно:

1. Определение класса и его свойства

---

Сначала определим класс Article:



Все, что следует за данным строками до закрывающей фигурной скобки в конце файла содержит код нашего класса Article.

После определения класса мы объявляем свойства класса : $id, $publicationDate и так далее. Каждый объект Article, который мы создаем, будет хранить данные в объявленных свойствах. Обратите внимание, что имена свойств соответствуют именам полей в таблице articles.

Технически, такой тип класса, который содержит свойства соответствующие непосредственно полям базы данных и методы для хранения и получения записей, соответствует шаблону объектно-ориентированного проектирования, известному как active record.

2. Конструктор

---

Затем мы создаем методы класса. Это функции, которые привязаны к классу и к объекту, создаваемому из класса. Наш основной код вызывает методы для манипулирования данными в объекте Article.

Первый метод, __construct(), является конструктором. Это специальный метод, который автоматически вызывается системой PHP каждый раз, когда создается новый объект Article. Наш конструктор получает необязательный массив $data, в котором содержатся данные для свойств нового объекта. Затем мы присваиваем данные свойствам в теле конструктора. Таким образом, получается удобный способ для создания и инициализации объекта в одно действие.

$this->propertyName означает: "Свойство объекта this с именем "$propertyName".

Обратите внимание, что метод фильтрует данные, прежде чем присвоить их свойствам. Свойства id и publicationDate приводятся к типу int с помощью (int), так данные значения должны быть типа int. Свойства title и summary фильтруются с помощью регулярных выражений, так как в них допускает наличие символов из определенного набора. С точки зрения безопасности фильтрация данных ввода - отличная практика. Пропускаем только допустимые значения и символы.

Однако, мы не фильтруем свойство content. Почему? Вероятно, администратор захочет использовать более широкий диапазон символов в содержании статьи - например, разметку HTML. Если мы ограничим диапазон доступных символов в содержании, то снизим полезность нашей системы для администратора.

Обычно, такие места могут оказаться дырой в системе безопасности, так как пользователь может вставить вредный код JavaScript или материалы с ошибками в содержание статьи. Однако, так как мы полагаем. что единственной персоной, которой доступно редактирование содержание, будет администратор системы, располагающий безграничным доверием, то вопрос с уязвимостью содержания остается за рамками нашего внимания. Если вы имеете дело с генерируем пользователями содержанием, например, комментариями или записями форума, то следует быть более осторожным и допускать только "безопасный" код HTML к использованию. Отличным инструментом для решения таких задач является HTML Purifier, который анализирует ввод кода HTML и удаляет все потенциальные угрозы.

Безопасность кода PHP выходит за рамки наших уроков. Вам следует посвятить определенное время для изучения данного вопроса.

3. storeFormValues()

---

Следующий метод storeFormValues()похож на конструктор в том, что он сохраняет полученный массив данных в свойствах объекта. Основное отличие заключается в том, что storeFormValues() может обрабатывать данные в формате, который используется в формах New Article (Новая статья) и Edit Article (Редактировать статью) (мы создадим их позже). В частности, он может обрабатывать дату публикации в формате YYYY-MM-DD, конвертировать ее в формат времени UNIX, который отлично подходит для хранения в объекте.

Формат времени UNIX представляет собой целое значение, которое содержит количество секунд от полуночи 1 января 1970 до искомой даты. Датой в таком формате легко оперировать, и ее удобно хранить.

Назначение данного метода - облегчить реализацию скрипта для хранения дат, вводимых в формах.

Все члены (то есть свойства и методы) нашего класса Article имеют ключевое слово public перед определением, что означает доступность кода вне класса. Также можно создавать частные члены (директива private) (их можно использовать только в классе) и защищенные члены (директива protected) (которые можно использовать в классе и его подклассах).

4. getById()

---

Теперь перейдем к методам, реализующим доступ к базе данных MySQL. Первый из них - getById(). Он принимает в качестве аргумента ID статьи ($id) и возвращает запись с указанным ID из таблицы articles, сохраняя данные в новом объекте Article.

Обычно, когда вы вызываете метод, сначала нужно создать объект, а затем вызвать метод, принадлежащий объекту. Но, так как getById() возвращает новый объект Article, будет полезно вызывать его напрямую, а не через существующий объект. Иначе придется создавать новый объект-заглушку каждый раз, когда нужно вызвать вызвать метод и получить статью.

Для разрешения вызова метода без объекта мы добавляем декларацию static к определению метода. Таким образом разрешается вызов метода непосредственно без определения объекта.



Метод использует PDO для соединения с базой данных, получает запись статьи с помощью запроса SQL SELECT и сохраняет данные в новом объекте Article, который возвращается в вызывающий код. PDO — PHP Data Objects —объектно-ориентированная библиотека, встроенная в PHP, которая облегчает связь скриптов PHP с базами данных.

1. Разберем метод подробнее:

Соединение с базой данных


Здесь выполняется соединение с базой данных MySQL с помощью данных из файла config.php. Дескриптор соединения сохраняется в переменной $conn. Данный дескриптор используется в остальном коде для обмена данных с базой.

2. Получаем запись статьи



Выражение SELECT возвращает все поля (*) из записи в таблице articles, которые соответствуют заданному полю id. Значение поля publicationDate возвращается в формате времени UNIX, вместо формата для дат MySQL, что упрощает процесс сохранения в нашем объекте.

Вместо того, чтобы помещать наш параметр $id непосредственно в строку SELECT, что увеличивает риск нарушения системы безопасности, мы используем :id. Такой параметр известен как placeholder (указатель места размещения). Далее мы вызываем метод PDO для привязывания значение $id к указателю места размещения.

Сразу после сохранения выражения SELECT в строке, мы подготавливаем его с помощью функции $conn->prepare(), сохраняя полученный дескриптор в переменной $st.

Подготовка выражения используется для работы со многими базами данных. Она позволяет выполнять запросы быстрее и безопаснее.

Затем мы привязываем значение переменной $id ( ID нужной статьи) к указателю места размещения :id с помощью вызова метода bindValue().

И вызываем метод execute() для выполнения запроса. После чего используем метод fetch() для перемещения полученной записи в ассоциированный массив с именами полей и соответствующими значениями, который хранится в переменной $row.

3. Закрываем соединение



Так ка нам больше не нужно соединение, мы закрываем его, присваивая значение null переменной $conn. Закрывать соединение с базой данных как можно быстрее является хорошей практикой для освобождения памяти на сервере.

4. Возвращаем объект Article



Последним действием в нашем методе является создание объекта Article, который будет содержать запись из базы данных, и возвращение его вызывающему коду. Сначала проверяем наличие данных в переменной $row после вызова метода fetch(). Если данные есть, создаем новый объект Article передавая переменную ему $row. Будет вызван конструктор класса, который наполнит объект данными из массива $row. Затем возвращаем готовый объект и работа метода завершена.

5. getList()

---

Следующий метод getList() во многом похож на метод getById(). Основное отличие заключается в том, что метод getList() возвращает несколько статей сразу. Его используют, когда нужно вывести список статей для пользователя или администратора.

---

getList() принимает 2 аргумента:

$numRowsМаксимальное количество получаемых статей. По умолчанию установлено значение 1,000,000 (то есть, практически все статьи). Данный параметр позволяет нам получать только первые 5 статей для главной страницы.

---

$orderПорядок сортировки получаемых статей. По умолчанию используется параметр "publicationDate DESC", который означает "сортировка по дате публикации, новые статьи первые".

Большая часть кода метода похожа на код метода getById(). Посмотрим на несколько строк:



Здесь запрос немного сложнее. Обратите внимание, что здесь не используется выражение WHERE, так как мы хотим получить все статьи, а не одну с заданным ID.

Также добавлено выражение ORDER BY для сортировки возвращаемых записей в определенном порядке. Используется выражение LIMIT с параметром $numRows (как указатель места размещения) для ограничения количества получаемых записей.

Специальное значение MySQL SQL_CALC_FOUND_ROWS указывает базе данных, что нужно вернуть действительное количество возвращаемых записей. Такая информация полезна для информирования пользователя и организации других функций, например, постраничного вывода списка.

Вместо передачи значения переменной $order в запрос через указатель места размещения, мы передаем его прямо в строку запроса, вызывая функцию mysql_escape_string(), чтобы отбросить любые специальные символы (для безопасности). Если использовать указатель места размещения, то PDO поместит кавычки (') вокруг строки (например, ORDER BY 'publicationDate DESC'), что является ошибкой синтаксиса.



Так как мы возвращаем несколько строк, нужно создать массив $list для размещения соответствующих объектов Article. Затем используем цикл while для получения следующей строки через fetch(), создаем новый объект Article, сохраняем строку в объекте и добавляем объект к массиву $list. Когда строк не останется, метод fetch() вернет false, и цикл остановится.



В завершении мы выполняем запрос, который использует функцию MySQL FOUND_ROWS() для получения количества возвращаемых строк, вычисленного в предыдущей команде SQL_CALC_FOUND_ROWS. В этот раз используем метод PDO query(), который позволяет быстро выполнить запрос, если нет указателей места замещения. Мы вызываем метод fetch() для получения результата. Затем возвращаем оба значения - список объектов Article ($list) и общее количество строк - как ассоциированный массив.

6. insert()

---

Оставшиеся методы в нашем классе Article работают с добавлением, изменением и удалением записей статей в базе данных.

insert() добавляет новую статью в таблицу articles, используя значения из текущего объекта Article:

Сначала метод проверяет, что объект не имеет установленного свойства $id. Если у объекта есть ID, то, вероятно, статья уже имеется в базе данных и ее добавлять не нужно.
Затем метод выполняет запрос SQL INSERT для вставки записи в таблицу articles, используя указатели места замещения для передачи значений свойств в базу данных. Обратите внимание, что мы используем функцию MySQL FROM_UNIXTIME() для конвертации даты публикации в формат MySQL.
После выполнения запроса, метод возвращает ID новой статьи с помощью функции PDO lastInsertId() и сохраняет значение в свойстве $id. Мы установили в таблице articles для поля id свойство auto_increment, поэтому MySQL генерирует уникальное значение ID для каждой новой записи.
Обратите внимание, что мы используем PDO::PARAM_INT при привязке целых значений к указателям места замещения, и PDO::PARAM_STR при привязке строк. Таким образом, PDO может правильно обрабатывать значения.

7. update ()

---

Данный метод похож на метод insert(), за исключением того, что здесь происходит обновление записи в базе данных вместо создания новой записи.

Сначала проверяем наличие ID у объекта, так как обновить можно только запись с известным ID. Затем используем выражение SQL UPDATE для обновления полей записи. Обратите внимание на передачу ID объекта в выражение UPDATE, так как мы знаем, какую запись надо обновить.

8. delete ()

---

Метод delete() использует выражение SQL DELETE для удаления из таблицы articles статьи, которая хранится в в объекте. Для идентификации записи задействуем свойство $id объекта. Для безопасности мы добавили LIMIT 1 к запросу, чтобы ограничиться удалением только одной записи.

В следующем уроке мы созадаим скрипты для клиентской и серверной части нашего приложения.