PHP数据库连接权威指南：MySQLi与PDO实战、安全与优化全解析201

```html

在现代Web开发中，PHP作为一门强大的服务器端脚本语言，其核心能力之一就是与数据库进行交互，从而构建动态、数据驱动的网站和应用程序。无论是用户注册、商品列表、博客文章还是复杂的业务逻辑，数据的存储和检索都离不开数据库的支持。因此，掌握PHP连接数据库的方法，是每一位PHP开发者的必备技能。

本文将深入探讨PHP连接数据库的各种方式，重点聚焦于目前主流且推荐的两种扩展：MySQLi和PDO（PHP Data Objects）。我们将从基础连接、数据操作（CRUD）、安全性最佳实践到性能优化和常见问题排查，为您提供一份全面而实用的指南。

一、PHP与数据库：为什么需要连接？

PHP本身不具备数据存储能力，它负责处理用户请求、执行业务逻辑。而数据库（如MySQL, PostgreSQL, SQLite, SQL Server等）则专门用于结构化地存储和管理数据。当用户访问一个PHP驱动的网页时，PHP脚本可能需要从数据库中获取数据来渲染页面（如显示产品信息），或者将用户提交的数据存储到数据库中（如注册新用户）。这种数据交换的桥梁，就是“连接”。

通过建立数据库连接，PHP可以向数据库发送SQL查询指令，接收数据库返回的结果集，从而实现数据的增（Create）、查（Read）、改（Update）、删（Delete）等核心操作。

二、选择数据库与PHP扩展

1. 常见的数据库选择

虽然PHP可以连接多种数据库，但MySQL因其开源、免费、高性能以及与PHP的良好集成而成为最受欢迎的选择。本文的大部分示例也将基于MySQL数据库。
MySQL/MariaDB：开源、高性能、广泛应用。
PostgreSQL：功能更强大、遵循SQL标准更严格、适用于大型复杂应用。
SQLite：无需独立服务器、数据存储在文件中、适用于小型应用或本地缓存。
SQL Server：微软开发的商业数据库、常用于企业级应用。
Oracle：大型商业数据库、性能极高、成本昂贵。

2. PHP数据库扩展的选择：MySQLi vs PDO

在过去，PHP使用`mysql`扩展连接MySQL。但该扩展已被废弃并在PHP 7.0中移除。目前，推荐使用以下两种现代扩展：
MySQLi (MySQL Improved Extension)：专为MySQL数据库设计，提供了面向对象和面向过程两种编程接口，支持预处理语句、多语句查询、事务等高级功能。
PDO (PHP Data Objects)：提供了一个轻量级的、一致的接口，用于连接多种数据库。这意味着您可以使用相同的API操作MySQL、PostgreSQL、SQLite等不同类型的数据库。PDO同样支持预处理语句、事务等。

选择建议：
如果您确定只使用MySQL数据库，并且希望利用MySQL特有的高级功能，MySQLi是一个不错的选择。
如果您需要支持多种数据库类型，或者希望代码更具可移植性，PDO是更优的选择，它提供了一个更统一的抽象层。
在安全性方面，两者都支持预处理语句，可以有效防止SQL注入。

三、MySQLi 连接与操作

MySQLi提供了两种编程风格：面向过程（Procedural）和面向对象（Object-Oriented）。两种风格的功能相同，开发者可根据个人偏好选择。

1. MySQLi 面向过程连接

<?php
$servername = "localhost"; // 数据库服务器地址
$username = "root"; // 数据库用户名
$password = "your_password"; // 数据库密码
$dbname = "my_database"; // 数据库名
// 创建连接
$conn = mysqli_connect($servername, $username, $password, $dbname);
// 检查连接是否成功
if (!$conn) {
die("连接失败: " . mysqli_connect_error());
}
echo "连接成功 (面向过程) ";
// 设置字符集 (推荐，防止乱码)
mysqli_set_charset($conn, "utf8mb4");
// 执行查询 (SELECT)
$sql = "SELECT id, firstname, lastname, email FROM users";
$result = mysqli_query($conn, $sql);
if (mysqli_num_rows($result) > 0) {
// 输出每行数据
while($row = mysqli_fetch_assoc($result)) {
echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. " - Email: " . $row["email"]. " ";
}
} else {
echo "0 结果 ";
}
// 插入数据 (INSERT)
$new_firstname = "John";
$new_lastname = "Doe";
$new_email = "@";
$sql_insert = "INSERT INTO users (firstname, lastname, email) VALUES ('$new_firstname', '$new_lastname', '$new_email')";
if (mysqli_query($conn, $sql_insert)) {
echo "新记录插入成功，ID: " . mysqli_insert_id($conn) . " ";
} else {
echo "Error: " . $sql_insert . " " . mysqli_error($conn) . " ";
}
// 更新数据 (UPDATE)
$update_email = "@";
$user_id_to_update = mysqli_insert_id($conn); // 使用刚刚插入的ID
$sql_update = "UPDATE users SET email='$update_email' WHERE id=$user_id_to_update";
if (mysqli_query($conn, $sql_update)) {
echo "记录更新成功 ";
} else {
echo "Error updating record: " . mysqli_error($conn) . " ";
}
// 删除数据 (DELETE)
$user_id_to_delete = $user_id_to_update; // 删除刚刚更新的记录
$sql_delete = "DELETE FROM users WHERE id=$user_id_to_delete";
if (mysqli_query($conn, $sql_delete)) {
echo "记录删除成功 ";
} else {
echo "Error deleting record: " . mysqli_error($conn) . " ";
}

// 关闭连接
mysqli_close($conn);
?>

2. MySQLi 面向对象连接

<?php
$servername = "localhost";
$username = "root";
$password = "your_password";
$dbname = "my_database";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接是否成功
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
echo "连接成功 (面向对象) ";
// 设置字符集
$conn->set_charset("utf8mb4");
// 执行查询 (SELECT)
$sql = "SELECT id, firstname, lastname, email FROM users";
$result = $conn->query($sql);
if ($result->num_rows > 0) {
while($row = $result->fetch_assoc()) {
echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. " - Email: " . $row["email"]. " ";
}
} else {
echo "0 结果 ";
}
// 插入数据 (INSERT)
$new_firstname = "Jane";
$new_lastname = "Smith";
$new_email = "@";
$sql_insert = "INSERT INTO users (firstname, lastname, email) VALUES ('$new_firstname', '$new_lastname', '$new_email')";
if ($conn->query($sql_insert) === TRUE) {
echo "新记录插入成功，ID: " . $conn->insert_id . " ";
} else {
echo "Error: " . $sql_insert . " " . $conn->error . " ";
}
// 关闭连接
$conn->close();
?>

3. MySQLi 预处理语句 (Prepared Statements) - 安全核心

上述直接将变量拼接到SQL语句的方式非常危险，容易遭受SQL注入攻击。预处理语句是防范SQL注入的最佳方式。<?php
$servername = "localhost";
$username = "root";
$password = "your_password";
$dbname = "my_database";
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
$conn->set_charset("utf8mb4");
echo "连接成功 (MySQLi 预处理) ";
// 插入数据 (INSERT) - 使用预处理语句
$firstname = "Alice";
$lastname = "Wonder";
$email = "alice@";
// 1. 准备SQL模板
$stmt = $conn->prepare("INSERT INTO users (firstname, lastname, email) VALUES (?, ?, ?)");
// 2. 绑定参数 (s = string, i = integer, d = double, b = blob)
$stmt->bind_param("sss", $firstname, $lastname, $email); // "sss" 表示三个字符串类型参数
// 3. 执行
$stmt->execute();
echo "新记录插入成功 (Alice)，ID: " . $stmt->insert_id . " ";
// 再次插入一条，改变变量值即可
$firstname = "Bob";
$lastname = "Builder";
$email = "bob@";
$stmt->execute();
echo "新记录插入成功 (Bob)，ID: " . $stmt->insert_id . " ";
// 查询数据 (SELECT) - 使用预处理语句
$search_lastname = "Wonder";
$stmt_select = $conn->prepare("SELECT id, firstname, lastname, email FROM users WHERE lastname = ?");
$stmt_select->bind_param("s", $search_lastname);
$stmt_select->execute();
$result = $stmt_select->get_result(); // 获取结果集
if ($result->num_rows > 0) {
while($row = $result->fetch_assoc()) {
echo "查询结果 - id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. " - Email: " . $row["email"]. " ";
}
} else {
echo "未找到姓氏为 'Wonder' 的用户 ";
}
// 更新数据 (UPDATE)
$new_email = "@";
$user_id_to_update = 1; // 假设更新ID为1的用户
$stmt_update = $conn->prepare("UPDATE users SET email = ? WHERE id = ?");
$stmt_update->bind_param("si", $new_email, $user_id_to_update); // s = string, i = integer
$stmt_update->execute();
echo $stmt_update->affected_rows . " 条记录更新成功 ";
// 删除数据 (DELETE)
$user_id_to_delete = 2; // 假设删除ID为2的用户
$stmt_delete = $conn->prepare("DELETE FROM users WHERE id = ?");
$stmt_delete->bind_param("i", $user_id_to_delete);
$stmt_delete->execute();
echo $stmt_delete->affected_rows . " 条记录删除成功 ";
// 关闭语句和连接
$stmt->close();
$stmt_select->close();
$stmt_update->close();
$stmt_delete->close();
$conn->close();
?>

四、PDO 连接与操作

PDO提供了一致的接口，可以连接多种数据库，并且强制使用面向对象的方式。其错误处理机制也更为现代化。

1. PDO 连接数据库

<?php
$servername = "localhost";
$username = "root";
$password = "your_password";
$dbname = "my_database";
try {
// DSN (Data Source Name) 包含数据库类型、主机、数据库名
$dsn = "mysql:host=$servername;dbname=$dbname;charset=utf8mb4";
$options = [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, // 错误模式：抛出异常
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC, // 默认抓取模式：关联数组
PDO::ATTR_EMULATE_PREPARES => false, // 关闭模拟预处理，使用MySQL驱动的真预处理
];
$pdo = new PDO($dsn, $username, $password, $options);
echo "连接成功 (PDO) ";
// ... 后续数据库操作 ...
// 关闭连接 (PDO连接在脚本结束时自动关闭，也可手动设为null)
$pdo = null;
} catch (PDOException $e) {
// 捕获连接异常
die("连接失败: " . $e->getMessage());
}
?>

2. PDO 执行查询和操作 (SELECT, INSERT, UPDATE, DELETE)

<?php
$servername = "localhost";
$username = "root";
$password = "your_password";
$dbname = "my_database";
try {
$dsn = "mysql:host=$servername;dbname=$dbname;charset=utf8mb4";
$options = [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
PDO::ATTR_EMULATE_PREPARES => false,
];
$pdo = new PDO($dsn, $username, $password, $options);
echo "连接成功 (PDO CRUD) ";
// 插入数据 (INSERT) - 使用预处理语句
$firstname = "Charlie";
$lastname = "Brown";
$email = "charlie@";
$stmt = $pdo->prepare("INSERT INTO users (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->execute([$firstname, $lastname, $email]); // execute() 直接传入参数数组
echo "新记录插入成功 (Charlie)，ID: " . $pdo->lastInsertId() . " ";
$firstname = "David";
$lastname = "Goliath";
$email = "david@";
$stmt->execute([$firstname, $lastname, $email]);
echo "新记录插入成功 (David)，ID: " . $pdo->lastInsertId() . " ";

// 查询数据 (SELECT) - 使用预处理语句
$search_lastname = "Brown";
$stmt_select = $pdo->prepare("SELECT id, firstname, lastname, email FROM users WHERE lastname = ?");
$stmt_select->execute([$search_lastname]);
if ($stmt_select->rowCount() > 0) {
while($row = $stmt_select->fetch()) { // 默认PDO::FETCH_ASSOC
echo "查询结果 - id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. " - Email: " . $row["email"]. " ";
}
} else {
echo "未找到姓氏为 'Brown' 的用户 ";
}
// 更新数据 (UPDATE)
$new_email = "@";
$user_id_to_update = $pdo->lastInsertId() -1; // 假设更新Charlie的记录
$stmt_update = $pdo->prepare("UPDATE users SET email = ? WHERE id = ?");
$stmt_update->execute([$new_email, $user_id_to_update]);
echo $stmt_update->rowCount() . " 条记录更新成功 ";

// 删除数据 (DELETE)
$user_id_to_delete = $pdo->lastInsertId(); // 假设删除David的记录
$stmt_delete = $pdo->prepare("DELETE FROM users WHERE id = ?");
$stmt_delete->execute([$user_id_to_delete]);
echo $stmt_delete->rowCount() . " 条记录删除成功 ";
$pdo = null;
} catch (PDOException $e) {
die("数据库操作失败: " . $e->getMessage());
}
?>

3. PDO 具名占位符 (Named Placeholders)

PDO预处理语句还支持具名占位符，这在参数较多时可提高可读性。<?php
// ... PDO连接代码 (与上例相同) ...
try {
// ... PDO连接 ...
// 插入数据 (INSERT) - 使用具名占位符
$firstname = "Frank";
$lastname = "Green";
$email = "frank@";
$stmt = $pdo->prepare("INSERT INTO users (firstname, lastname, email) VALUES (:fname, :lname, :email)");
// 绑定参数
$stmt->bindParam(':fname', $firstname);
$stmt->bindParam(':lname', $lastname);
$stmt->bindParam(':email', $email);
$stmt->execute();
echo "新记录插入成功 (Frank)，ID: " . $pdo->lastInsertId() . " ";
// 或者在execute()中直接传入关联数组
$firstname = "Grace";
$lastname = "Hopper";
$email = "grace@";
$stmt->execute([
':fname' => $firstname,
':lname' => $lastname,
':email' => $email
]);
echo "新记录插入成功 (Grace)，ID: " . $pdo->lastInsertId() . " ";
$pdo = null;
} catch (PDOException $e) {
die("数据库操作失败: " . $e->getMessage());
}
?>

五、安全性最佳实践

数据库连接和操作是Web应用中最敏感的部分之一，必须高度重视安全性。

1. 防范SQL注入 (SQL Injection)

使用预处理语句：无论是MySQLi还是PDO，务必使用预处理语句（Prepared Statements）来绑定所有用户输入的数据。这是防范SQL注入最有效的方法。预处理语句将SQL查询的结构与数据分离，即使数据中包含恶意SQL代码，也会被视为普通字符串，而不是SQL指令的一部分。
避免字符串拼接：绝不直接将用户输入拼接到SQL查询字符串中。

2. 最小权限原则

为数据库用户分配最小必要的权限。例如，一个只读数据的应用不应该拥有写入或删除数据的权限。为Web应用创建一个专用的数据库用户，而不是使用`root`用户。-- 示例：创建一个只能对特定数据库的特定表进行SELECT和INSERT操作的用户
CREATE USER 'webapp_user'@'localhost' IDENTIFIED BY 'secure_password';
GRANT SELECT, INSERT ON TO 'webapp_user'@'localhost';
FLUSH PRIVILEGES;

3. 敏感信息保护

不要硬编码凭据：数据库用户名和密码不应直接写在PHP代码中。应将其存储在PHP可访问但Web服务器不可访问的配置文件（如 `.env` 文件或 `` 文件，并将其放置在Web根目录之外）中。
使用环境变量：在生产环境中，将数据库凭据作为服务器的环境变量传递给PHP是更安全的做法。

4. 错误处理与日志

不要在生产环境显示详细错误：数据库连接或查询失败时，不要将详细的错误信息（如SQL错误信息、文件路径）直接显示给最终用户。这可能泄露敏感信息。
记录错误：将详细错误信息记录到服务器日志文件中，以便开发者进行排查。
PDO的`ERRMODE_EXCEPTION`：推荐在PDO中使用 `PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION`，这样当发生错误时，PDO会抛出 `PDOException`，可以使用 `try...catch` 块优雅地处理错误。

5. 输入验证与数据清理 (Input Validation & Sanitization)

虽然预处理语句可以防止SQL注入，但对用户输入进行验证和清理仍然是必不可少的。这有助于确保数据的完整性和应用的逻辑正确性。例如，检查邮件格式、数字范围、字符串长度等。

六、性能优化建议

1. 及时关闭数据库连接

虽然PHP脚本执行完毕后，数据库连接会自动关闭，但在长时间运行的脚本或特定场景下，显式关闭连接是个好习惯。这可以释放资源。
MySQLi: `mysqli_close($conn)` 或 `$conn->close()`
PDO: `$pdo = null;`

2. 使用连接池 (Connection Pooling)

对于高并发的应用，频繁地建立和关闭数据库连接会带来性能开销。一些高级的Web服务器（如Nginx + PHP-FPM）或数据库驱动程序支持连接池，允许复用已建立的数据库连接，从而提高效率。在PHP中，可以通过`pdo_mysql`驱动的持久连接（`PDO::ATTR_PERSISTENT => true`）来实现简单的连接复用，但需谨慎使用，因为它可能导致资源泄露或状态问题。

3. 优化SQL查询

索引：在经常用于WHERE子句、JOIN条件和ORDER BY子句的列上创建索引。
避免`SELECT *`：只选择你需要的列，而不是所有列。
LIMIT：对于分页或只显示部分数据的场景，使用`LIMIT`限制结果集大小。
理解JOIN：优化JOIN操作，避免笛卡尔积。

4. 缓存

对于不经常变化但频繁读取的数据，可以考虑使用缓存机制（如Redis, Memcached）来减少数据库的负载。

七、常见问题与排查

1. 连接失败

凭据错误：检查数据库用户名、密码、主机名和数据库名是否正确。
数据库服务未运行：确保MySQL或其他数据库服务器正在运行。
防火墙：检查服务器或数据库主机的防火墙设置，确保PHP服务器可以访问数据库端口（MySQL默认是3306）。
PHP扩展未安装/启用：确认``中已启用`mysqli`或`pdo_mysql`扩展（例如：`extension=mysqli`，`extension=pdo_mysql`），并重启Web服务器。
主机地址错误： `localhost`有时可能会被解析为IPv6地址，而MySQL默认监听IPv4。尝试使用`127.0.0.1`替代`localhost`。

2. 字符编码问题 (乱码)

数据库/表/列字符集：确保数据库、表和列的字符集设置为`utf8mb4`或`utf8`。
PHP连接字符集：在PHP连接数据库后，立即设置连接的字符集：

MySQLi: `mysqli_set_charset($conn, "utf8mb4");` 或 `$conn->set_charset("utf8mb4");`
PDO: 在DSN中指定 `charset=utf8mb4`，例如：`mysql:host=localhost;dbname=my_database;charset=utf8mb4`

Web页面字符集：确保HTML页面也声明了正确的字符集：``。