PHP安全高效地从数据库读取数据：MySQLi与PDO实战指南173

在现代Web应用开发中，PHP与数据库的交互是核心功能之一。无论是显示用户数据、产品列表还是文章内容，从数据库中读取数据都是不可或缺的步骤。本文将深入探讨PHP如何安全、高效地从数据库（主要以MySQL为例）读取数据，重点介绍两种主流且推荐的方式：MySQLi扩展和PDO（PHP Data Objects）。

需要明确的是，标题中“读取数据库中的数据库”通常指从数据库服务器上已选择的特定数据库中读取其内部的数据（表、行、列）。本文将聚焦于此，即如何查询并获取表中的数据，而非获取数据库服务器上有哪些数据库列表（虽然这也可以通过SQL查询实现，如`SHOW DATABASES;`）。

一、数据库连接：建立通信桥梁

在读取数据之前，PHP应用必须首先与数据库建立连接。这涉及数据库主机地址、用户名、密码以及要操作的数据库名称等凭证。

1. 使用MySQLi连接

MySQLi（MySQL Improved Extension）是PHP官方推荐用于与MySQL数据库交互的扩展，它提供了面向对象和面向过程两种接口。以下是面向对象的连接示例：
<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
echo "MySQLi 连接成功<br>";
?>

2. 使用PDO连接 (推荐)

PDO提供了一个轻量级的、一致的接口来访问多种数据库。其主要优势在于数据库抽象层，这意味着你可以使用相同的函数来连接和操作不同类型的数据库（如MySQL, PostgreSQL, SQLite等），而无需修改大量代码。同时，PDO在安全性（尤其是在预处理语句方面）和错误处理上表现出色。
<?php
$dsn = "mysql:host=localhost;dbname=your_database;charset=utf8mb4";
$username = "your_username";
$password = "your_password";
try {
$pdo = new PDO($dsn, $username, $password);
// 设置PDO错误模式为抛出异常，便于调试和错误处理
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
echo "PDO 连接成功<br>";
} catch (PDOException $e) {
die("PDO 连接失败: " . $e->getMessage());
}
?>

二、数据查询：执行SELECT语句

连接成功后，下一步是构建SQL `SELECT` 语句并执行，以从数据库中检索所需的数据。

1. MySQLi查询数据

a. 简单查询 (不推荐用于用户输入)

对于不包含任何用户输入的静态查询，可以直接使用`query()`方法。然而，对于任何包含用户输入的查询，强烈建议使用预处理语句以防止SQL注入。
<?php
// 假设已通过上述方法建立 $conn 连接
$sql = "SELECT id, firstname, lastname, email FROM users";
$result = $conn->query($sql);
if ($result->num_rows > 0) {
// 输出每行数据
while($row = $result->fetch_assoc()) {
echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. " - Email: " . $row["email"]. "<br>";
}
} else {
echo "0 结果";
}
$result->free(); // 释放结果集
$conn->close(); // 关闭连接
?>

b. 使用预处理语句 (推荐)

预处理语句是抵御SQL注入攻击的关键。它将SQL语句的结构与数据分离，服务器在执行前会先解析SQL结构，再将数据绑定到占位符。
<?php
// 假设已通过上述方法建立 $conn 连接
$id_to_find = 1; // 这是一个用户输入或变量
// 准备SQL语句，使用问号作为占位符
$stmt = $conn->prepare("SELECT id, firstname, lastname, email FROM users WHERE id = ?");
if ($stmt === false) {
die("准备语句失败: " . $conn->error);
}
// 绑定参数，"i" 表示整数类型 (integer)
$stmt->bind_param("i", $id_to_find);
// 执行语句
$stmt->execute();
// 获取结果集
$result = $stmt->get_result();
if ($result->num_rows > 0) {
// 输出每行数据
while($row = $result->fetch_assoc()) {
echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. " - Email: " . $row["email"]. "<br>";
}
} else {
echo "0 结果";
}
$stmt->close(); // 关闭预处理语句
$conn->close(); // 关闭连接
?>

2. PDO查询数据 (推荐)

a. 简单查询 (不推荐用于用户输入)

与MySQLi类似，PDO的`query()`方法适用于无需参数绑定的静态SQL语句。
<?php
// 假设已通过上述方法建立 $pdo 连接
$sql = "SELECT id, firstname, lastname, email FROM users";
$stmt = $pdo->query($sql);
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. " - Email: " . $row["email"]. "<br>";
}
// PDO的连接在脚本结束时通常会自动关闭
$pdo = null;
?>

b. 使用预处理语句 (强烈推荐)

PDO的预处理语句是其最大的亮点之一，它提供了两种类型的占位符：问号占位符 (`?`) 和命名占位符 (`:name`)。
<?php
// 假设已通过上述方法建立 $pdo 连接
$id_to_find = 1; // 用户输入或变量
// 使用问号占位符
$stmt = $pdo->prepare("SELECT id, firstname, lastname, email FROM users WHERE id = ?");
$stmt->execute([$id_to_find]); // 直接传入数组绑定参数
// 或者使用命名占位符
$email_to_find = "@";
$stmt_named = $pdo->prepare("SELECT id, firstname, lastname FROM users WHERE email = :email");
$stmt_named->bindParam(':email', $email_to_find, PDO::PARAM_STR); // 绑定参数及类型
$stmt_named->execute();
// 获取结果
// fetch() 获取下一行数据
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. " - Email: " . $row["email"]. "<br>";
}
// fetchAll() 获取所有行数据
$all_users = $stmt_named->fetchAll(PDO::FETCH_ASSOC);
foreach ($all_users as $user) {
echo "Named Query: id: " . $user["id"]. " - Name: " . $user["firstname"]. " " . $user["lastname"]. "<br>";
}
$pdo = null; // 关闭连接
?>

三、结果处理与错误管理

获取查询结果后，通常需要遍历并处理这些数据。同时，完善的错误处理机制能够帮助我们及时发现并解决问题。

1. 结果集获取方式

`fetch_assoc()` (MySQLi) / `PDO::FETCH_ASSOC` (PDO): 以关联数组的形式返回一行数据，键是列名。这是最常用和推荐的方式。
`fetch_row()` (MySQLi) / `PDO::FETCH_NUM` (PDO): 以数字索引数组的形式返回一行数据。
`fetch_array()` (MySQLi): 返回关联和数字索引两种形式的数组。
`fetch_object()` (MySQLi) / `PDO::FETCH_OBJ` (PDO): 以匿名对象的形式返回一行数据，对象的属性是列名。
`fetchAll()` (PDO): 返回一个包含所有结果行的数组。

2. 错误处理

MySQLi: 连接错误通过 `$conn->connect_error` 检测；查询错误通过 `$conn->error` 或 `$stmt->error` 检测。
PDO (推荐): 通过设置 `PDO::ATTR_ERRMODE` 为 `PDO::ERRMODE_EXCEPTION`，PDO会在发生错误时抛出 `PDOException` 异常。使用 `try-catch` 块可以优雅地捕获和处理这些异常，使代码更健壮。

四、安全性：防范SQL注入

在所有数据库操作中，安全性是重中之重。SQL注入攻击是一种常见的Web安全漏洞，攻击者通过在输入字段中插入恶意的SQL代码来操纵数据库。预处理语句是防范SQL注入的最有效方法。
原理： 预处理语句将SQL查询语句与传入的参数分开处理。数据库服务器会先编译带有占位符的SQL语句模板，然后再将参数值安全地绑定到这些占位符上，确保参数值不会被解释为SQL代码的一部分。
实践： 无论是MySQLi还是PDO，都应始终对所有来自用户输入的、可能影响SQL查询结构的变量使用预处理语句和参数绑定。

五、总结与最佳实践

从数据库读取数据是PHP Web应用的基础。为了确保代码的健壮性、安全性和可维护性，请遵循以下最佳实践：
优先使用PDO： 它的灵活性、一致的API和强大的错误处理机制使其成为PHP数据库操作的首选。
始终使用预处理语句： 这是防范SQL注入的关键，尤其是在处理用户输入时。
完善错误处理： 通过捕获异常或检查错误代码，确保在数据库操作失败时能够优雅地处理。
安全管理数据库凭证： 避免在公共代码库中硬编码敏感信息。建议将数据库配置存储在PHP文件外部或环境变量中，并通过配置文件加载。
及时关闭资源： 虽然PHP脚本结束时会关闭数据库连接，但显式关闭连接和释放结果集是一种良好的习惯，尤其是在长时间运行的脚本中。

通过掌握MySQLi和PDO的正确用法，尤其是预处理语句，您将能够构建出既安全又高效的PHP数据库驱动应用。

2025-10-01

---

上一篇：PHP数组数据获取全攻略：从基础到高效实践的深度解析

下一篇：PHP全局文件深度解析：构建高效、可维护的应用基石