PHP与MySQL数据交互：全面解析高效安全的行数据获取策略（PDO与MySQLi深度对比）72

```html

在Web开发领域，PHP与MySQL的结合无疑是最常见的技术栈之一。无论是构建小型博客还是大型电商平台，从数据库中高效、安全地获取数据都是核心任务。本文将深入探讨PHP如何与MySQL进行交互，特别是如何获取查询结果中的各行数据，并对比两种主流的数据库扩展：MySQLi和PDO。我们将覆盖从基础连接、预处理语句、多种数据获取方法到错误处理、性能优化及安全实践等各个方面，助您写出更健壮、更高效的PHP数据库操作代码。

一、PHP与MySQL数据交互概览

在PHP中，与MySQL数据库进行交互主要通过两种官方推荐的扩展：

MySQLi (MySQL Improved Extension)：它是为MySQL数据库量身定制的扩展，提供了面向对象和面向过程两种接口，功能比旧的`mysql_*`函数（已废弃）更强大，支持预处理语句和事务。

PDO (PHP Data Objects)：这是一个更通用的数据库抽象层，它提供了一个统一的接口来访问多种数据库（如MySQL, PostgreSQL, SQLite, SQL Server等）。PDO的优势在于其灵活性和数据库无关性，同时也原生支持预处理语句。

无论选择哪种扩展，数据获取的基本流程都类似：连接数据库 -> 准备/执行查询 -> 获取结果集 -> 逐行处理数据 -> 关闭连接。

二、数据库连接：一切的起点

在获取数据之前，首先需要建立与MySQL数据库的连接。

2.1 使用MySQLi连接数据库

MySQLi支持面向对象和面向过程两种方式连接。推荐使用面向对象方式，它更符合现代编程习惯。
<?php
$host = 'localhost';
$user = 'root';
$password = 'your_password';
$database = 'your_database';
$port = 3306; // 默认端口
// 面向对象方式
$mysqli = new mysqli($host, $user, $password, $database, $port);
// 检查连接是否成功
if ($mysqli->connect_errno) {
die("连接失败: " . $mysqli->connect_error);
}
// 设置字符集，防止乱码
$mysqli->set_charset("utf8mb4");
echo "MySQLi 数据库连接成功！";
// 后续操作...
// 关闭连接
$mysqli->close();
?>

2.2 使用PDO连接数据库

PDO连接数据库更为简洁，且支持通过`try-catch`块捕获连接异常，是推荐的做法。
<?php
$host = 'localhost';
$user = 'root';
$password = 'your_password';
$database = 'your_database';
$port = 3306;
try {
$dsn = "mysql:host=$host;port=$port;dbname=$database;charset=utf8mb4";
$pdo = new PDO($dsn, $user, $password);
// 设置PDO错误模式为异常，这样当出现SQL错误时会抛出PDOException
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 设置默认的查询结果集获取模式为关联数组
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
echo "PDO 数据库连接成功！";
// 后续操作...
// 关闭连接（通过将PDO对象设置为null，PHP会在适当时候回收资源）
$pdo = null;
} catch (PDOException $e) {
die("连接失败: " . $e->getMessage());
}
?>

三、预处理语句的重要性：安全与性能

在获取数据之前，理解并使用预处理语句（Prepared Statements）至关重要。它是防止SQL注入攻击的最佳实践，同时也能提高重复查询的性能。

防止SQL注入：通过将SQL逻辑与数据分离，数据库服务器能够区分哪些是SQL指令，哪些是用户输入的数据，从而有效阻止恶意注入。

性能提升：对于重复执行的相同结构但参数不同的查询，数据库服务器可以缓存查询计划，减少解析时间。

四、MySQLi获取各行数据

4.1 使用预处理语句获取数据

这是MySQLi推荐的获取数据方式。
<?php
// 假设 $mysqli 已经是一个成功的数据库连接对象
$id = 1;
$category = 'Electronics';
// 1. 准备SQL语句，使用占位符 (?)
$sql = "SELECT id, name, price, description FROM products WHERE id > ? AND category = ?";
$stmt = $mysqli->prepare($sql);
if ($stmt === false) {
die("SQL准备失败: " . $mysqli->error);
}
// 2. 绑定参数
// 第一个参数是类型字符串：
// i = integer (整型)
// d = double (浮点型)
// s = string (字符串)
// b = blob (二进制数据)
$stmt->bind_param("is", $id, $category); // 将 $id 绑定为整型， $category 绑定为字符串
// 3. 执行查询
$stmt->execute();
// 4. 获取结果集
// get_result() 方法返回一个 mysqli_result 对象
$result = $stmt->get_result();
if ($result->num_rows > 0) {
echo "<h3>MySQLi (预处理语句) 获取数据:</h3>";
// 5. 遍历结果集，逐行获取数据
while ($row = $result->fetch_assoc()) {
// fetch_assoc() 返回关联数组
echo "<p>ID: " . $row['id'] . ", Name: " . $row['name'] . ", Price: " . $row['price'] . "</p>";
}
} else {
echo "<p>没有找到匹配的产品。</p>";
}
// 6. 释放结果集和语句对象
$result->free();
$stmt->close();
// $mysqli->close(); // 在整个脚本结束时关闭连接
?>

4.2 其他获取行数据的方法 (MySQLi)

除了`fetch_assoc()`，`mysqli_result`对象还提供其他方法：

`fetch_row()`：返回一个索引数组，其中包含当前行的数据。
// ... 前面代码相同，从 $result = $stmt->get_result(); 开始
while ($row = $result->fetch_row()) {
echo "<p>ID: " . $row[0] . ", Name: " . $row[1] . ", Price: " . $row[2] . "</p>";
}

`fetch_array($resulttype)`：可以返回关联数组、索引数组或两者兼有。`$resulttype`可以是`MYSQLI_ASSOC`、`MYSQLI_NUM`或`MYSQLI_BOTH`。
// ...
while ($row = $result->fetch_array(MYSQLI_NUM)) { // 返回索引数组
echo "<p>ID: " . $row[0] . ", Name: " . $row[1] . ", Price: " . $row[2] . "</p>";
}
// 或
while ($row = $result->fetch_array(MYSQLI_ASSOC)) { // 返回关联数组，等同于 fetch_assoc()
echo "<p>ID: " . $row['id'] . ", Name: " . $row['name'] . ", Price: " . $row['price'] . "</p>";
}

4.3 直接查询获取数据 (MySQLi - 不推荐用于用户输入)

对于不包含用户输入参数的简单查询，可以直接使用`query()`方法，但应尽量避免。
<?php
// 假设 $mysqli 已经是一个成功的数据库连接对象
$sql = "SELECT id, name, price FROM products WHERE stock > 0";
$result = $mysqli->query($sql);
if ($result) { // 检查查询是否成功
if ($result->num_rows > 0) {
echo "<h3>MySQLi (直接查询) 获取数据:</h3>";
while ($row = $result->fetch_assoc()) {
echo "<p>ID: " . $row['id'] . ", Name: " . $row['name'] . ", Price: " . $row['price'] . "</p>";
}
} else {
echo "<p>没有找到库存大于0的产品。</p>";
}
$result->free();
} else {
die("查询失败: " . $mysqli->error);
}
?>

五、PDO获取各行数据

PDO以其更统一和更强大的接口，成为现代PHP开发中数据库操作的首选。

5.1 使用预处理语句获取数据 (推荐)

<?php
// 假设 $pdo 已经是一个成功的PDO数据库连接对象
$id = 1;
$category = 'Electronics';
// 1. 准备SQL语句，使用命名占位符或问号占位符
$sql = "SELECT id, name, price, description FROM products WHERE id > :id_param AND category = :category_param";
$stmt = $pdo->prepare($sql);
// 检查语句准备是否成功
if ($stmt === false) {
die("SQL准备失败: " . print_r($pdo->errorInfo(), true));
}
// 2. 绑定参数 (使用命名占位符)
$stmt->bindParam(':id_param', $id, PDO::PARAM_INT); // 绑定为整型
$stmt->bindParam(':category_param', $category, PDO::PARAM_STR); // 绑定为字符串
// 或者使用 execute() 传入关联数组 (更简洁)
// $stmt->execute([':id_param' => $id, ':category_param' => $category]);
// 3. 执行查询
$stmt->execute();
// 4. 遍历结果集，逐行获取数据
if ($stmt->rowCount() > 0) {
echo "<h3>PDO (预处理语句) 逐行获取数据:</h3>";
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
// PDO::FETCH_ASSOC 返回关联数组
echo "<p>ID: " . $row['id'] . ", Name: " . $row['name'] . ", Price: " . $row['price'] . "</p>";
}
} else {
echo "<p>没有找到匹配的产品。</p>";
}
// 语句对象会在脚本结束时自动释放，或者设置为null手动释放
$stmt = null;
// $pdo = null; // 在整个脚本结束时关闭连接
?>

5.2 PDO获取所有行数据 (`fetchAll()`)

当你确定结果集不会非常庞大，并且需要一次性获取所有数据时，`fetchAll()`是一个非常方便的方法。它将所有行作为数组中的元素返回。
<?php
// 假设 $pdo 和 $stmt 已经成功执行查询
// 重新执行查询以获取所有数据
$id = 1;
$category = 'Electronics';
$sql = "SELECT id, name, price, description FROM products WHERE id > :id_param AND category = :category_param";
$stmt = $pdo->prepare($sql);
$stmt->execute([':id_param' => $id, ':category_param' => $category]);

$all_rows = $stmt->fetchAll(PDO::FETCH_ASSOC); // 获取所有行作为关联数组的数组
if (count($all_rows) > 0) {
echo "<h3>PDO (fetchAll) 获取所有数据:</h3>";
foreach ($all_rows as $row) {
echo "<p>ID: " . $row['id'] . ", Name: " . $row['name'] . ", Price: " . $row['price'] . "</p>";
}
} else {
echo "<p>没有找到匹配的产品。</p>";
}
$stmt = null;
?>

注意：`fetchAll()`会将所有结果加载到内存中。对于包含数十万甚至数百万行的大型结果集，这可能会导致内存耗尽。在这种情况下，应优先使用`while ($row = $stmt->fetch())`逐行处理。

5.3 其他获取行数据的方法 (PDO)

`fetch()`方法支持多种获取模式，可以在其参数中指定：

`PDO::FETCH_NUM`：返回一个索引数组。
// ...
while ($row = $stmt->fetch(PDO::FETCH_NUM)) {
echo "<p>ID: " . $row[0] . ", Name: " . $row[1] . ", Price: " . $row[2] . "</p>";
}

`PDO::FETCH_OBJ`：返回一个匿名对象，其属性名为列名。
// ...
while ($row = $stmt->fetch(PDO::FETCH_OBJ)) {
echo "<p>ID: " . $row->id . ", Name: " . $row->name . ", Price: " . $row->price . "</p>";
}

`PDO::FETCH_BOTH`：返回一个既包含关联键又包含数字索引的数组。

`PDO::FETCH_CLASS`：可以将结果映射到自定义类的对象。

六、错误处理与调试

健壮的数据库操作离不开有效的错误处理。

MySQLi：通过检查`mysqli->connect_errno`和`mysqli->error`（连接错误），以及`stmt->errno`和`stmt->error`（语句错误）来捕获错误。

PDO：强烈建议将`PDO::ATTR_ERRMODE`设置为`PDO::ERRMODE_EXCEPTION`。这样当SQL查询出错时，PDO会抛出`PDOException`异常，可以使用`try-catch`块来优雅地处理。
try {
// 数据库操作...
} catch (PDOException $e) {
error_log("数据库错误: " . $e->getMessage() . " - SQL: " . $sql); // 记录错误到日志
// 或者在开发环境中直接显示错误
// die("数据库操作失败: " . $e->getMessage());
}

在生产环境中，切勿直接向用户显示详细的数据库错误信息，这可能泄露敏感信息。应将错误记录到日志文件，并向用户显示友好的错误提示。

七、性能优化与大型数据集处理

当处理大量数据时，性能问题变得尤为突出。

索引：确保数据库表上的查询字段有适当的索引，这是最基本的优化手段。

限制查询结果：使用SQL的`LIMIT`和`OFFSET`子句进行分页查询，只获取当前页面所需的数据，而不是一次性获取所有数据。

逐行处理 (`while fetch()`)：对于极其庞大的结果集，避免使用`fetchAll()`。逐行获取并处理数据可以显著减少内存消耗。

缓存：对于不经常变动但频繁读取的数据，可以考虑使用内存缓存（如Redis、Memcached）或文件缓存。

减少查询次数：尽量通过JOIN操作一次性获取所需关联数据，而不是多次查询。

选择必要字段：避免使用`SELECT *`，只选择你需要的列。

八、总结与最佳实践

从PHP与MySQL获取行数据是日常开发中的核心任务。以下是一些总结和最佳实践：

优先使用PDO：PDO提供了统一、灵活、功能强大的数据库抽象层，兼容多种数据库，且错误处理机制更优秀。

始终使用预处理语句：无论是PDO还是MySQLi，都应优先使用预处理语句来执行查询，尤其是涉及到用户输入时，这是防止SQL注入的关键。

正确处理错误：配置PDO为`ERRMODE_EXCEPTION`，并使用`try-catch`捕获异常。生产环境应将错误记录到日志，避免直接暴露给用户。

优化查询性能：创建合适的索引，避免`SELECT *`，使用`LIMIT`进行分页，并考虑缓存机制。

内存管理：对于大型数据集，避免一次性`fetchAll()`所有数据，改为`while fetch()`逐行处理。

及时关闭资源：MySQLi需要显式调用`close()`和`free()`。PDO通常通过将对象设为`null`来释放资源。

面向对象封装：考虑将数据库操作封装到一个独立的类或仓库中，实现代码的模块化和可维护性。