使用pdo或mysqli通过预处理语句实现安全的增删改查,防止sql注入;连接数据库后,用prepare()和execute()处理数据操作,结合fetch/fetchAll获取结果,确保WHERE条件避免误删改,提升程序稳定性和安全性。
php操作MySQL数据库是动态网站开发中的基础技能。使用正确的语法和安全的方式进行增删改查(CRUD),能有效提升程序的稳定性与安全性。以下是常用的技巧和实际操作方法。
连接数据库:推荐使用PDO或mysqli
PHP提供了多种方式连接MySQL,建议优先使用PDO或MySQLi(面向对象模式),它们支持预处理语句,防止sql注入。
- PDO支持多种数据库,适合未来扩展
- MySQLi专用于MySQL,功能更细致
示例(PDO连接):
立即学习“PHP免费学习笔记(深入)”;
$host = 'localhost'; $dbname = 'test_db'; $username = 'root'; $password = ''; <p>try { $pdo = new PDO("mysql:host=$host;dbname=$dbname", $username, $password); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); } catch (PDOException $e) { die("连接失败: " . $e->getMessage()); }</p>
插入数据:使用预处理防止注入
直接拼接SQL字符串容易被攻击,应使用预处理语句绑定参数。
示例:
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)"); $stmt->execute(['张三', 'zhangsan@example.com']); echo "数据插入成功,ID:" . $pdo->lastInsertId();
也可以使用命名占位符,提高可读性:
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)"); $stmt->execute([':name' => '李四', ':email' => 'lisi@example.com']);
查询数据:获取单条或多条记录
使用select语句配合fetch或fetchAll获取结果。
- fetch() 获取单行
- fetchAll() 获取所有行
示例:
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?"); $stmt->execute([1]); $user = $stmt->fetch(); <p>if ($user) { echo "姓名:" . $user['name'] . ",邮箱:" . $user['email']; }</p>
查询多条数据:
$stmt = $pdo->query("SELECT * FROM users"); $users = $stmt->fetchAll(); foreach ($users as $row) { echo $row['name'] . " - " . $row['email'] . "<br>"; }
更新与删除:确保条件准确,避免误操作
UPDATE和delete操作必须带WHERE条件,否则会影响全部数据。
更新示例:
$stmt = $pdo->prepare("UPDATE users SET email = ? WHERE name = ?"); $stmt->execute(['newemail@example.com', '张三']); echo "影响行数:" . $stmt->rowCount();
删除示例:
$stmt = $pdo->prepare("DELETE FROM users WHERE id = ?"); $stmt->execute([2]); if ($stmt->rowCount() > 0) { echo "删除成功"; } else { echo "未找到该记录"; }
基本上就这些。关键在于使用预处理语句、合理处理异常、避免裸写SQL。掌握这些技巧后,PHP操作MySQL会更安全高效。