PHP 数据库查询实战：MySQL/MariaDB 数据检索完全指南294

在现代Web开发中，数据库是应用程序的基石，用于存储、管理和检索大量数据。PHP作为最流行的服务器端脚本语言之一，其与数据库交互的能力是构建动态网站不可或缺的一部分。本文将深入探讨PHP如何从数据库中查询数据，重点介绍两种主流的数据库扩展：MySQLi和PDO，并通过实战代码示例，为您提供一份从连接到数据展示、再到安全与性能优化的全面指南。

一、数据库交互的基石：连接

在执行任何数据库查询之前，PHP应用程序必须先与数据库服务器建立连接。这是整个数据交互过程的第一步，也是最关键的一步。PHP提供了多种方式来连接数据库，其中最推荐的是MySQLi和PDO。

1.1 MySQLi扩展（MySQL Improved Extension）

MySQLi是专为MySQL数据库设计的增强型扩展，提供了面向对象和过程式两种API。它比老旧的`mysql_*`函数更安全、功能更强大，并且支持预处理语句。

面向对象方式连接：<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn->connect_error) {
die("<p>连接失败: " . $conn->connect_error . "</p>");
}
echo "<p>使用 MySQLi (OO) 连接成功</p>";
?>

过程式方式连接：<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";
// 创建连接
$conn = mysqli_connect($servername, $username, $password, $dbname);
// 检查连接
if (!$conn) {
die("<p>连接失败: " . mysqli_connect_error() . "</p>");
}
echo "<p>使用 MySQLi (过程式) 连接成功</p>";
?>

1.2 PDO扩展（PHP Data Objects）

PDO是一个数据库抽象层，这意味着它提供了一个统一的接口来访问多种数据库，如MySQL、PostgreSQL、SQL Server等。它的主要优势在于其灵活性、强大的错误处理机制以及对预处理语句的全面支持。

PDO方式连接：<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 设置PDO错误模式为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
echo "<p>使用 PDO 连接成功</p>";
} catch(PDOException $e) {
die("<p>连接失败: " . $e->getMessage() . "</p>");
}
?>

选择哪一个？

对于只使用MySQL的项目，MySQLi是一个不错的选择。但如果您希望项目未来能够轻松切换到其他数据库，或者更喜欢其面向对象的统一接口和更高级的特性，PDO是更推荐的选择。

二、执行基本查询：SELECT语句

连接成功后，下一步就是执行SQL查询语句来检索数据。最常见的数据检索操作是`SELECT`语句。

2.1 使用MySQLi执行SELECT查询

我们将以一个简单的`users`表为例，该表包含`id`、`name`和`email`字段。

代码示例（MySQLi - 面向对象）：<?php
// ... (前面连接代码) ...
// 执行查询
$sql = "SELECT id, name, email FROM users";
$result = $conn->query($sql);
if ($result) {
if ($result->num_rows > 0) {
echo "<h2>用户列表 (MySQLi)</h2>";
echo "<table border='1'>";
echo "<tr><th>ID</th><th>姓名</th><th>邮箱</th></tr>";
// 输出每行数据
while($row = $result->fetch_assoc()) {
echo "<tr>";
echo "<td>" . $row["id"]. "</td>";
echo "<td>" . $row["name"]. "</td>";
echo "<td>" . $row["email"]. "</td>";
echo "</tr>";
}
echo "</table>";
} else {
echo "<p>0 结果 (MySQLi)</p>";
}
$result->free(); // 释放结果集
} else {
echo "<p>查询错误: " . $conn->error . "</p>";
}
$conn->close(); // 关闭连接
?>

`fetch_assoc()`、`fetch_row()`和`fetch_all()`：
`fetch_assoc()`: 返回一个关联数组，字段名为键。
`fetch_row()`: 返回一个索引数组，字段值为键。
`fetch_all(MYSQLI_ASSOC)`: 返回所有行的关联数组。

2.2 使用PDO执行SELECT查询

代码示例（PDO）：<?php
// ... (前面连接代码) ...
// 执行查询
$stmt = $conn->query("SELECT id, name, email FROM users");
if ($stmt) {
$results = $stmt->fetchAll(PDO::FETCH_ASSOC); // 获取所有结果作为关联数组
if (count($results) > 0) {
echo "<h2>用户列表 (PDO)</h2>";
echo "<table border='1'>";
echo "<tr><th>ID</th><th>姓名</th><th>邮箱</th></tr>";
foreach ($results as $row) {
echo "<tr>";
echo "<td>" . $row["id"]. "</td>";
echo "<td>" . $row["name"]. "</td>";
echo "<td>" . $row["email"]. "</td>";
echo "</tr>";
}
echo "</table>";
} else {
echo "<p>0 结果 (PDO)</p>";
}
} else {
// 这里的错误处理因为PDO::ERRMODE_EXCEPTION通常不会直接走到这里
// 除非SQL语法错误，PDO会抛出异常
echo "<p>查询执行失败</p>";
}
$conn = null; // 关闭连接 (PDO连接在脚本结束或设置为null时自动关闭)
?>

`fetch()`和`fetchAll()`：
`fetch()`: 每次调用返回一行数据。可以通过参数控制返回类型（`PDO::FETCH_ASSOC`, `PDO::FETCH_NUM`, `PDO::FETCH_BOTH`等）。
`fetchAll()`: 返回所有行的数组。

三、安全查询：预防SQL注入的利器——预处理语句

直接将用户输入的数据拼接到SQL查询字符串中是极其危险的，这可能导致SQL注入攻击。预处理语句（Prepared Statements）是预防这类攻击最有效的方法。

预处理语句的工作原理是：先将SQL模板发送到数据库服务器进行解析和编译，然后分批发送数据。这样，数据库就能区分SQL代码和数据，避免将用户输入当作SQL指令执行。

3.1 使用MySQLi预处理查询

代码示例（MySQLi - 面向对象）：<?php
// ... (前面连接代码) ...
$search_name = "Alice"; // 假设这是从用户输入获取的值
// 准备SQL语句模板
$stmt = $conn->prepare("SELECT id, name, email FROM users WHERE name = ?");
if ($stmt) {
// 绑定参数
// "s" 表示参数类型为字符串 (string)
// 其他类型：i (integer), d (double), b (blob)
$stmt->bind_param("s", $search_name);
// 执行查询
$stmt->execute();
// 获取结果
$result = $stmt->get_result();
if ($result->num_rows > 0) {
echo "<h2>查询结果 (MySQLi 预处理)</h2>";
echo "<table border='1'>";
echo "<tr><th>ID</th><th>姓名</th><th>邮箱</th></tr>";
while($row = $result->fetch_assoc()) {
echo "<tr>";
echo "<td>" . $row["id"]. "</td>";
echo "<td>" . $row["name"]. "</td>";
echo "<td>" . $row["email"]. "</td>";
echo "</tr>";
}
echo "</table>";
} else {
echo "<p>0 结果 (MySQLi 预处理)</p>";
}
$stmt->close(); // 关闭预处理语句
} else {
echo "<p>预处理失败: " . $conn->error . "</p>";
}
$conn->close();
?>

3.2 使用PDO预处理查询

PDO的预处理语句功能更加强大和灵活，支持命名占位符和问号占位符。

代码示例（PDO - 问号占位符）：<?php
// ... (前面连接代码) ...
$search_email = "bob@"; // 假设这是从用户输入获取的值
// 准备SQL语句模板
$stmt = $conn->prepare("SELECT id, name, email FROM users WHERE email = ?");
if ($stmt) {
// 绑定参数并执行
$stmt->execute([$search_email]); // 传入一个数组，按顺序绑定到问号占位符
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
if (count($results) > 0) {
echo "<h2>查询结果 (PDO 预处理 - 问号占位符)</h2>";
echo "<table border='1'>";
echo "<tr><th>ID</th><th>姓名</th><th>邮箱</th></tr>";
foreach ($results as $row) {
echo "<tr>";
echo "<td>" . $row["id"]. "</td>";
echo "<td>" . $row["name"]. "</td>";
echo "<td>" . $row["email"]. "</td>";
echo "</tr>";
}
echo "</table>";
} else {
echo "<p>0 结果 (PDO 预处理 - 问号占位符)</p>";
}
} else {
echo "<p>预处理失败: " . print_r($conn->errorInfo(), true) . "</p>";
}
$conn = null;
?>

代码示例（PDO - 命名占位符）：<?php
// ... (前面连接代码) ...
$search_id = 1; // 假设这是从用户输入获取的值
// 准备SQL语句模板
$stmt = $conn->prepare("SELECT id, name, email FROM users WHERE id = :id");
if ($stmt) {
// 绑定参数并执行
// $stmt->bindParam(':id', $search_id, PDO::PARAM_INT); // 绑定变量引用
// $stmt->bindValue(':id', $search_id, PDO::PARAM_INT); // 绑定值
// 或者直接在execute中传入关联数组
$stmt->execute([':id' => $search_id]);
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
if (count($results) > 0) {
echo "<h2>查询结果 (PDO 预处理 - 命名占位符)</h2>";
echo "<table border='1'>";
echo "<tr><th>ID</th><th>姓名</th><th>邮箱</th></tr>";
foreach ($results as $row) {
echo "<tr>";
echo "<td>" . $row["id"]. "</td>";
echo "<td>" . $row["name"]. "</td>";
echo "<td>" . $row["email"]. "</td>";
echo "</tr>";
}
echo "</table>";
} else {
echo "<p>0 结果 (PDO 预处理 - 命名占位符)</p>";
}
} else {
echo "<p>预处理失败: " . print_r($conn->errorInfo(), true) . "</p>";
}
$conn = null;
?>

命名占位符使代码更具可读性，并且在有大量参数时更容易管理。强烈推荐在所有涉及用户输入的查询中使用预处理语句。

四、错误处理与调试

在实际开发中，数据库操作可能会失败，例如连接中断、SQL语法错误、权限不足等。良好的错误处理机制至关重要。
MySQLi: 使用`$conn->connect_error`检查连接错误，`$conn->error`检查查询错误。
PDO: 通过设置`PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION`，可以在发生错误时抛出`PDOException`，然后用`try-catch`块捕获并处理。这是推荐的做法，因为它可以将数据库错误转换为PHP异常，使错误处理更加结构化。`$stmt->errorInfo()`也可以获取详细错误信息。

切勿将详细的数据库错误信息直接暴露给最终用户。 它们可能包含敏感数据或泄露数据库结构，为攻击者提供便利。在生产环境中，应将错误记录到日志文件，并向用户显示一个友好的通用错误消息。

五、性能优化与最佳实践

除了功能正确和安全，高效的数据库查询也是高性能Web应用的关键。
仅选择必要的列： 避免使用`SELECT *`，只选择你实际需要的列。这减少了网络传输的数据量和数据库服务器处理的数据量。
使用索引： 为`WHERE`子句、`JOIN`条件和`ORDER BY`子句中经常使用的列创建索引，可以显著提高查询速度。
限制结果集： 对于大数据量查询，使用`LIMIT`子句进行分页，避免一次性加载所有数据到内存。
避免在循环中执行查询： 尽量通过`JOIN`操作或批量查询来减少数据库往返次数（N+1查询问题）。
关闭数据库连接： 在脚本执行完毕或不再需要数据库连接时，及时关闭连接可以释放资源。MySQLi通过`$conn->close()`，PDO通过将连接对象设置为`null`（`$conn = null;`）来关闭。
配置数据库用户权限： 给予数据库用户最低所需的权限，例如，Web应用的用户只应有`SELECT`, `INSERT`, `UPDATE`, `DELETE`等权限，而不应有`DROP TABLE`等管理权限。
将敏感信息外部化： 将数据库连接凭据（如用户名、密码）存储在PHP文件之外，例如环境变量或单独的配置文件中，并确保这些文件有适当的权限限制，以防止未经授权的访问。

六、总结

PHP与数据库的交互是构建动态Web应用的核心技能。本文详细介绍了如何使用MySQLi和PDO这两种主流扩展来连接数据库、执行`SELECT`查询、以及如何利用预处理语句来预防SQL注入攻击。同时，我们也探讨了错误处理、性能优化和安全最佳实践，旨在帮助您编写出高效、健壮且安全的PHP数据库查询代码。

掌握这些知识和技巧，您将能够更自信、更专业地处理Web应用中的数据查询需求，为用户提供稳定、快速的服务体验。

2025-10-08

上一篇：PHP 数组显示不出？深度剖析与解决方案

下一篇：PHP文件包含：外部文件引入的风险与安全防御指南