PHP数据库数据检索：使用PDO和MySQLi从MySQL安全高效地获取数据128

```html

在现代Web开发中，PHP作为一种强大的服务器端脚本语言，其与数据库的交互能力是构建动态网站和Web应用程序的核心。从数据库中检索数据是这一交互中最频繁且至关重要的一环。本文将作为一名专业程序员的视角，深入探讨如何使用PHP从数据库中，特别是MySQL数据库中安全、高效地获取数据。我们将重点介绍两种主流的PHP数据库扩展：PHP Data Objects (PDO) 和 MySQLi，并强调数据安全性和最佳实践。

一、为何从数据库获取数据如此重要？

无论是博客文章、电子商务产品列表、用户个人资料还是实时分析报告，几乎所有动态Web内容都存储在数据库中。PHP通过与数据库的连接，能够执行查询操作，将这些结构化数据提取出来，并在网页上进行展示、处理或进一步分析。高效且安全的数据检索机制，不仅决定了应用程序的响应速度，更是抵御潜在安全威胁（如SQL注入）的第一道防线。

二、数据检索前的准备工作

在开始编写PHP代码之前，确保您的开发环境已满足以下条件：

PHP环境：已安装PHP，并且数据库扩展（如pdo_mysql和mysqli）已在中启用。

数据库服务器：已安装并运行MySQL或MariaDB数据库服务器。

数据库与表：拥有一个用于测试的数据库（例如my_database）和至少一个表（例如users），其中包含一些示例数据。

-- 示例数据库和表结构
CREATE DATABASE IF NOT EXISTS my_database;
USE my_database;
CREATE TABLE IF NOT EXISTS users (
id INT AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(50) NOT NULL UNIQUE,
email VARCHAR(100) NOT NULL,
registered_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
INSERT INTO users (username, email) VALUES
('alice', 'alice@'),
('bob', 'bob@'),
('charlie', 'charlie@');

数据库凭证：知道数据库的主机名、用户名、密码和数据库名称。

三、核心概念：PHP与数据库交互的流程

无论使用哪种扩展，PHP与数据库交互的基本流程都是相似的：

建立连接 (Connect)： PHP脚本与数据库服务器建立通信链路。

准备查询 (Prepare/Query)：构造一个SQL查询语句，并选择是否使用预处理语句。

执行查询 (Execute)：将SQL查询发送到数据库服务器并执行。

获取结果 (Fetch)：从数据库服务器获取查询返回的数据集。

处理结果 (Process)：遍历数据集，提取所需信息并进行处理或展示。

关闭连接 (Close)：释放数据库连接资源（虽然PHP脚本结束时会自动关闭，但显式关闭是良好习惯）。

四、使用PHP Data Objects (PDO) 获取数据

PDO是PHP提供的一个轻量级、一致性的接口，用于连接多种数据库。它提供了数据抽象层，这意味着您可以使用相同的函数从不同的数据库系统（如MySQL, PostgreSQL, SQLite等）中获取数据。由于其强大的功能、安全性和面向对象的设计，PDO是现代PHP开发中连接数据库的首选。

4.1 建立PDO连接

连接到数据库是第一步。通常，我们会将连接参数定义为常量或从配置文件中读取，以提高代码的可维护性和安全性。

<?php
define('DB_HOST', 'localhost');
define('DB_NAME', 'my_database');
define('DB_USER', 'root'); // 生产环境中请使用权限受限的用户
define('DB_PASS', 'your_password'); // 生产环境中请使用强密码
$dsn = "mysql:host=" . DB_HOST . ";dbname=" . DB_NAME . ";charset=utf8mb4";
$options = [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, // 抛出异常
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC, // 默认以关联数组形式获取结果
PDO::ATTR_EMULATE_PREPARES => false, // 关闭模拟预处理语句，使用真正的预处理
];
try {
$pdo = new PDO($dsn, DB_USER, DB_PASS, $options);
// echo "数据库连接成功！";
} catch (PDOException $e) {
die("数据库连接失败: " . $e->getMessage());
}
?>

在这段代码中：

$dsn (Data Source Name) 指定了数据库类型 (mysql)、主机 (host)、数据库名 (dbname) 和字符集 (charset)。
$options 数组配置了PDO的行为，例如错误处理模式 (PDO::ERRMODE_EXCEPTION) 和默认的获取模式 (PDO::FETCH_ASSOC)。
try-catch 块用于捕获连接过程中可能发生的 PDOException，并友好地处理错误。

4.2 执行简单的SELECT查询（无参数）

对于不包含用户输入，或者参数已在SQL语句中硬编码的简单查询，可以使用 query() 方法。

<?php
// ... 之前的PDO连接代码 ...
try {
$sql = "SELECT id, username, email FROM users";
$stmt = $pdo->query($sql); // 执行查询，返回PDOStatement对象
// 获取所有结果
$users = $stmt->fetchAll();
if ($users) {
echo "

所有用户:

";
echo "<ul>";
foreach ($users as $user) {
echo "<li>ID: " . htmlspecialchars($user['id']) .
", 用户名: " . htmlspecialchars($user['username']) .
", 邮箱: " . htmlspecialchars($user['email']) . "</li>";
}
echo "</ul>";
} else {
echo "<p>没有找到用户。</p>";
}
} catch (PDOException $e) {
die("查询失败: " . $e->getMessage());
}
?>

fetchAll() 方法获取所有结果集中的行，并以数组形式返回。htmlspecialchars() 用于防止XSS攻击，这是输出数据时的最佳实践。

4.3 执行带参数的SELECT查询（预处理语句） - 安全的关键

当查询包含来自用户输入或其他变量的参数时，务必使用预处理语句（Prepared Statements）。这能够有效防止SQL注入攻击。PDO的预处理语句是其最强大的特性之一。

<?php
// ... 之前的PDO连接代码 ...
// 模拟用户输入
$search_username = "bob"; // 假设这是从表单或URL参数获取的
try {
$sql = "SELECT id, username, email FROM users WHERE username = :username"; // 使用命名占位符
$stmt = $pdo->prepare($sql); // 准备SQL语句
// 绑定参数
$stmt->bindParam(':username', $search_username, PDO::PARAM_STR);
// 或者 $stmt->bindValue(':username', $search_username, PDO::PARAM_STR);
$stmt->execute(); // 执行查询
$user = $stmt->fetch(); // 获取单行结果
if ($user) {
echo "<h2>查找用户 '" . htmlspecialchars($search_username) . "':</h2>";
echo "<p>ID: " . htmlspecialchars($user['id']) .
", 用户名: " . htmlspecialchars($user['username']) .
", 邮箱: " . htmlspecialchars($user['email']) . "</p>";
} else {
echo "<p>用户 '" . htmlspecialchars($search_username) . "' 未找到。</p>";
}
} catch (PDOException $e) {
die("查询失败: " . $e->getMessage());
}
?>

这段代码的关键点：

占位符： SQL语句中使用命名占位符 (:username) 或问号占位符 (?)。命名占位符更具可读性。

prepare()： prepare() 方法将SQL语句发送到数据库服务器进行预编译，但不执行。

bindParam() / bindValue()：将PHP变量与占位符绑定。bindParam() 绑定的是变量的引用，而 bindValue() 绑定的是变量的值。这意味着如果您在调用 bindParam() 后改变了变量的值，bindParam() 会使用新的值，而 bindValue() 则使用绑定时的值。通常 bindValue() 更直观且在多数情况下表现一致。

execute()：执行预处理语句，此时绑定的参数值会被安全地发送到数据库。

fetch()：获取结果集中的下一行。如果只需要一行数据，这比 fetchAll() 更高效。

4.4 获取不同格式的数据

PDO允许您以不同的格式获取数据：

PDO::FETCH_ASSOC (默认)：关联数组，键是列名。

PDO::FETCH_NUM：索引数组，键是列的数字索引。

PDO::FETCH_OBJ：匿名对象，属性是列名。

PDO::FETCH_BOTH：关联和索引数组的组合。

<?php
// ... 之前的PDO连接代码 ...
$stmt = $pdo->query("SELECT username, email FROM users LIMIT 1");
// 获取为对象
$user_obj = $stmt->fetch(PDO::FETCH_OBJ);
if ($user_obj) {
echo "<h2>以对象形式获取:</h2>";
echo "<p>用户名: " . htmlspecialchars($user_obj->username) .
", 邮箱: " . htmlspecialchars($user_obj->email) . "</p>";
}
// 获取为索引数组
$stmt = $pdo->query("SELECT username, email FROM users LIMIT 1");
$user_num = $stmt->fetch(PDO::FETCH_NUM);
if ($user_num) {
echo "<h2>以索引数组形式获取:</h2>";
echo "<p>用户名: " . htmlspecialchars($user_num[0]) .
", 邮箱: " . htmlspecialchars($user_num[1]) . "</p>";
}
?>

五、使用MySQLi扩展获取数据

MySQLi（MySQL improved extension）是PHP为MySQL数据库提供的一个增强接口。它提供了面向对象和过程式两种风格的API，支持预处理语句和多语句查询等高级特性。如果您只使用MySQL数据库，MySQLi是一个不错的选择。通常，推荐使用其面向对象的风格。

5.1 建立MySQLi连接

<?php
define('DB_HOST', 'localhost');
define('DB_NAME', 'my_database');
define('DB_USER', 'root');
define('DB_PASS', 'your_password');
// 面向对象风格连接
$mysqli = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME);
// 检查连接
if ($mysqli->connect_errno) {
die("数据库连接失败: " . $mysqli->connect_error);
}
// 设置字符集
$mysqli->set_charset("utf8mb4");
// echo "数据库连接成功！";
?>

5.2 执行简单的SELECT查询（面向对象风格）

与PDO类似，对于不含参数的查询，可以直接使用 query() 方法。

<?php
// ... 之前的MySQLi连接代码 ...
try {
$sql = "SELECT id, username, email FROM users";
$result = $mysqli->query($sql); // 执行查询
if ($result) {
if ($result->num_rows > 0) {
echo "<h2>所有用户 (MySQLi):</h2>";
echo "<ul>";
while ($row = $result->fetch_assoc()) { // 获取关联数组
echo "<li>ID: " . htmlspecialchars($row['id']) .
", 用户名: " . htmlspecialchars($row['username']) .
", 邮箱: " . htmlspecialchars($row['email']) . "</li>";
}
echo "</ul>";
} else {
echo "<p>没有找到用户。</p>";
}
$result->free(); // 释放结果集
} else {
die("查询失败: " . $mysqli->error);
}
} catch (Exception $e) {
die("操作失败: " . $e->getMessage());
}
?>

这里 fetch_assoc() 方法每次获取一行数据，直到没有更多行。free() 方法用于释放结果集占用的内存。

5.3 执行带参数的SELECT查询（MySQLi预处理语句） - 安全的关键

MySQLi的预处理语句与PDO类似，也是防止SQL注入的核心机制。

<?php
// ... 之前的MySQLi连接代码 ...
$search_email = "bob@"; // 模拟用户输入
try {
$sql = "SELECT id, username FROM users WHERE email = ?";
$stmt = $mysqli->prepare($sql); // 准备SQL语句
if ($stmt === false) {
die("准备语句失败: " . $mysqli->error);
}
// 绑定参数。's'表示字符串类型。
$stmt->bind_param("s", $search_email);
$stmt->execute(); // 执行查询
$result = $stmt->get_result(); // 获取结果集
if ($result->num_rows > 0) {
$user = $result->fetch_assoc(); // 获取关联数组
echo "<h2>查找邮箱 '" . htmlspecialchars($search_email) . "':</h2>";
echo "<p>ID: " . htmlspecialchars($user['id']) .
", 用户名: " . htmlspecialchars($user['username']) . "</p>";
} else {
echo "<p>邮箱 '" . htmlspecialchars($search_email) . "' 未找到。</p>";
}
$stmt->close(); // 关闭预处理语句
$result->free(); // 释放结果集
} catch (Exception $e) {
die("操作失败: " . $e->getMessage());
}
?>

MySQLi的 bind_param() 方法需要您指定每个参数的类型（'s' for string, 'i' for integer, 'd' for double, 'b' for blob），这比PDO的 bindParam()/bindValue() 更为严格。

六、高级主题与最佳实践

6.1 错误处理

良好的错误处理机制是健壮应用程序的标志。

PDO：强烈推荐设置 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION，并通过 try-catch 块捕获 PDOException。这样可以统一处理数据库操作中发生的错误，避免直接暴露敏感信息给用户。

MySQLi：可以通过 $mysqli->error 或 $stmt->error 获取错误信息，并通过 die() 或抛出自定义异常来处理。