PHP连接与操作数据库：从基础到实战的全面指南74

```html

在现代Web开发中，PHP作为一种强大的服务器端脚本语言，其核心能力之一就是与数据库进行交互，以实现动态内容的生成、用户数据的存储与检索等功能。无论是构建简单的博客、复杂的电商平台还是API服务，数据库都是其不可或缺的基石。本教程将深入探讨PHP如何访问、操作各种数据库，特别是MySQL，涵盖从基础连接到高级安全实践的全面知识，旨在帮助您从入门到精通。

1. 理解PHP数据库访问的基础

数据库是结构化数据的集合，而PHP则扮演着应用程序与数据库之间的桥梁角色。PHP通过特定的扩展库来与不同类型的数据库服务器进行通信。早期PHP版本主要依赖于`mysql_*`系列函数，但这些函数如今已被弃用，因为它们缺乏面向对象的设计，且安全性较差。现在，我们主要推荐使用以下两种现代且强大的扩展：

MySQLi (MySQL Improved Extension)：专为MySQL数据库设计，提供了面向对象和面向过程两种接口，功能更强大，性能更好，支持预处理语句。

PDO (PHP Data Objects)：PHP数据对象，提供了一个轻量级的、一致的接口，用于访问多种数据库（如MySQL, PostgreSQL, SQLite, SQL Server等）。它通过数据库驱动程序（driver）实现，是访问不同数据库的最佳选择，也支持预处理语句。

在开始之前，请确保您的PHP环境已经安装并配置了相应的数据库扩展。通常，在``文件中，您需要启用`extension=mysqli`和`extension=pdo_mysql`（如果使用MySQL）。

2. 使用MySQLi扩展访问MySQL数据库

MySQLi是与MySQL数据库交互的“改进”方式，它提供了更好的性能、安全性和更丰富的功能。我们将主要关注其面向对象的接口，因为它更符合现代编程习惯。

2.1 建立数据库连接

连接数据库是所有操作的第一步。我们需要提供数据库服务器地址、用户名、密码和数据库名称。
<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
echo "数据库连接成功 (MySQLi)! ";
// 设置字符集（重要，防止乱码）
$conn->set_charset("utf8mb4");
// 后续操作...
// 关闭连接
$conn->close();
?>

2.2 执行查询 (SELECT)

从数据库中读取数据是最常见的操作。`query()`方法用于执行SQL查询，并返回一个结果集对象。
<?php
// ... (之前的连接代码) ...
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) { die("连接失败: " . $conn->connect_error); }
$conn->set_charset("utf8mb4");
$sql = "SELECT id, firstname, lastname, email FROM users";
$result = $conn->query($sql);
if ($result->num_rows > 0) {
// 输出每行数据
while($row = $result->fetch_assoc()) {
echo "id: " . $row["id"]. " - 姓名: " . $row["firstname"]. " " . $row["lastname"]. " - 邮箱: " . $row["email"]. " ";
}
} else {
echo "0 结果";
}
$conn->close();
?>

2.3 执行增删改 (INSERT, UPDATE, DELETE)

对于数据插入、更新和删除操作，`query()`方法同样适用。这些操作不返回结果集，但可以通过`affected_rows`获取受影响的行数，或者通过`insert_id`获取自增ID。
<?php
// ... (之前的连接代码) ...
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) { die("连接失败: " . $conn->connect_error); }
$conn->set_charset("utf8mb4");
// 插入数据
$sql_insert = "INSERT INTO users (firstname, lastname, email) VALUES ('John', 'Doe', 'john@')";
if ($conn->query($sql_insert) === TRUE) {
echo "新记录插入成功，ID为: " . $conn->insert_id . " ";
} else {
echo "Error: " . $sql_insert . " " . $conn->error . " ";
}
// 更新数据
$sql_update = "UPDATE users SET lastname='Smith' WHERE id=1"; // 假设ID为1
if ($conn->query($sql_update) === TRUE) {
echo "记录更新成功，影响行数: " . $conn->affected_rows . " ";
} else {
echo "Error updating record: " . $conn->error . " ";
}
// 删除数据
$sql_delete = "DELETE FROM users WHERE id=2"; // 假设ID为2
if ($conn->query($sql_delete) === TRUE) {
echo "记录删除成功，影响行数: " . $conn->affected_rows . " ";
} else {
echo "Error deleting record: " . $conn->error . " ";
}
$conn->close();
?>

2.4 预防SQL注入：使用预处理语句 (Prepared Statements)

SQL注入是Web应用中最常见的安全漏洞之一。当用户输入直接拼接到SQL查询中时，恶意用户可以通过构造特殊字符串来修改查询逻辑。预处理语句通过将SQL逻辑与数据分离来有效防止SQL注入。
<?php
// ... (之前的连接代码) ...
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) { die("连接失败: " . $conn->connect_error); }
$conn->set_charset("utf8mb4");
// 示例：使用预处理语句插入数据
$stmt_insert = $conn->prepare("INSERT INTO users (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt_insert->bind_param("sss", $firstname, $lastname, $email); // "sss" 表示三个字符串参数
// 设置参数并执行
$firstname = "Alice";
$lastname = "Wonder";
$email = "alice@";
$stmt_insert->execute();
echo "新记录插入成功 (Alice)！ ";
$firstname = "Bob";
$lastname = "Builder";
$email = "bob@";
$stmt_insert->execute();
echo "新记录插入成功 (Bob)！ ";
$stmt_insert->close();

// 示例：使用预处理语句查询数据
$user_id = 3; // 假设我们要查询ID为3的用户
$stmt_select = $conn->prepare("SELECT id, firstname, lastname, email FROM users WHERE id = ?");
$stmt_select->bind_param("i", $user_id); // "i" 表示一个整数参数
$stmt_select->execute();
$result_select = $stmt_select->get_result(); // 获取结果集
if ($result_select->num_rows > 0) {
while($row = $result_select->fetch_assoc()) {
echo "查询结果 - id: " . $row["id"]. " - 姓名: " . $row["firstname"]. " " . $row["lastname"]. " - 邮箱: " . $row["email"]. " ";
}
} else {
echo "未找到ID为 $user_id 的用户。 ";
}
$stmt_select->close();
$conn->close();
?>

`bind_param()`方法中的第一个参数是类型字符串，用于指定后面参数的数据类型（`i`代表整数，`d`代表双精度浮点数，`s`代表字符串，`b`代表BLOB）。

3. 使用PDO (PHP Data Objects) 访问数据库

PDO提供了一个统一的接口，无论您使用哪种数据库（MySQL, PostgreSQL, Oracle等），其API调用方式基本相同。这使得代码更具可移植性。

3.1 建立数据库连接

PDO连接通过构造函数建立，通常在`try-catch`块中，以便捕获连接错误。
<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname;charset=utf8mb4", $username, $password);
// 设置PDO错误模式为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 设置默认的取回模式为关联数组
$conn->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
echo "数据库连接成功 (PDO)! ";
// 后续操作...
// 关闭连接（通过将连接对象设置为null来关闭）
$conn = null;
} catch(PDOException $e) {
die("连接失败: " . $e->getMessage());
}
?>

3.2 执行查询 (SELECT)

PDO的`query()`方法用于执行不需要参数的SELECT查询。`prepare()`和`execute()`方法组合用于带参数的查询，这也是推荐做法。
<?php
// ... (之前的连接代码) ...
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname;charset=utf8mb4", $username, $password);
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$conn->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
$stmt = $conn->query("SELECT id, firstname, lastname, email FROM users");
$users = $stmt->fetchAll(); // 获取所有行
if (count($users) > 0) {
foreach ($users as $row) {
echo "id: " . $row["id"]. " - 姓名: " . $row["firstname"]. " " . $row["lastname"]. " - 邮箱: " . $row["email"]. " ";
}
} else {
echo "0 结果";
}
$conn = null; // 关闭连接
} catch(PDOException $e) {
die("Error: " . $e->getMessage());
}
?>

3.3 执行增删改 (INSERT, UPDATE, DELETE)

对于这些操作，通常也建议使用预处理语句，即使它们当前没有参数。
<?php
// ... (之前的连接代码) ...
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname;charset=utf8mb4", $username, $password);
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 插入数据
$stmt_insert = $conn->prepare("INSERT INTO users (firstname, lastname, email) VALUES (:firstname, :lastname, :email)");
$stmt_insert->bindParam(':firstname', $firstname);
$stmt_insert->bindParam(':lastname', $lastname);
$stmt_insert->bindParam(':email', $email);
$firstname = "Charlie";
$lastname = "Chaplin";
$email = "charlie@";
$stmt_insert->execute();
echo "新记录插入成功，ID为: " . $conn->lastInsertId() . " ";
// 更新数据
$stmt_update = $conn->prepare("UPDATE users SET lastname = :lastname WHERE id = :id");
$stmt_update->bindParam(':lastname', $new_lastname);
$stmt_update->bindParam(':id', $user_id_to_update);
$new_lastname = "Brown";
$user_id_to_update = 1; // 假设ID为1
$stmt_update->execute();
echo "记录更新成功，影响行数: " . $stmt_update->rowCount() . " ";
// 删除数据
$stmt_delete = $conn->prepare("DELETE FROM users WHERE id = :id");
$stmt_delete->bindParam(':id', $user_id_to_delete);
$user_id_to_delete = 2; // 假设ID为2
$stmt_delete->execute();
echo "记录删除成功，影响行数: " . $stmt_delete->rowCount() . " ";
$conn = null;
} catch(PDOException $e) {
die("Error: " . $e->getMessage());
}
?>

PDO支持两种占位符：问号占位符 (`?`) 和命名占位符 (`:name`)。命名占位符通常更具可读性。

3.4 事务处理 (Transactions)

事务允许您将一组SQL语句作为单个逻辑工作单元来执行。如果所有语句都成功，则事务被提交；如果有任何语句失败，则整个事务被回滚（所有更改都被撤销）。这对于保持数据完整性至关重要。
<?php
// ... (之前的连接代码) ...
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname;charset=utf8mb4", $username, $password);
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 开启事务
$conn->beginTransaction();
// 尝试执行多条语句
$stmt1 = $conn->prepare("INSERT INTO accounts (user_id, balance) VALUES (?, ?)");
$stmt1->execute([1, 100]); // 假设用户ID为1，初始余额100
$stmt2 = $conn->prepare("UPDATE accounts SET balance = balance - ? WHERE user_id = ?");
$stmt2->execute([50, 1]); // 用户1转账50
$stmt3 = $conn->prepare("INSERT INTO transactions (from_user_id, to_user_id, amount) VALUES (?, ?, ?)");
$stmt3->execute([1, 2, 50]); // 记录交易
// 如果所有操作都成功，则提交事务
$conn->commit();
echo "事务成功提交！ ";
} catch(PDOException $e) {
// 如果发生错误，则回滚事务
$conn->rollBack();
die("事务失败: " . $e->getMessage());
} finally {
$conn = null;
}
?>

4. MySQLi与PDO的选择与对比

选择MySQLi还是PDO取决于您的具体项目需求和偏好：

MySQLi：

优点：专门为MySQL设计，可能在某些特定MySQL功能上支持更好；如果项目只使用MySQL，上手可能略快。

缺点：仅支持MySQL；API在不同模式（面向对象/面向过程）下可能略有不一致。

PDO：

优点：数据库无关性，一套代码可用于多种数据库；统一的API接口，学习成本低；内置事务支持更完善。

缺点：相比MySQLi，对于特定MySQL高级功能的支持可能需要通过驱动程序选项来配置；性能上差异通常可以忽略不计。

建议：对于新项目或需要支持多种数据库的项目，强烈推荐使用PDO。 它提供了更好的灵活性、可维护性和更强大的功能，是现代PHP数据库访问的首选。

5. 数据库访问的安全与最佳实践

5.1 始终使用预处理语句

这是防止SQL注入最重要且最有效的方法。无论是MySQLi还是PDO，都提供了完善的预处理语句支持。切勿直接拼接用户输入到SQL查询中。

5.2 最小权限原则

为数据库用户分配最小必需的权限。例如，如果某个用户只需要读取数据，就只授予SELECT权限，而不是ALL PRIVILEGES。这可以限制潜在攻击造成的损害。

5.3 错误处理与日志记录

在生产环境中，不要直接将数据库错误信息显示给用户，因为这些信息可能包含敏感数据（如数据库结构、表名等）。应该捕获错误，记录到服务器日志中，并向用户显示一个友好的通用错误消息。
<?php
// PDO 错误处理示例
try {
$conn = new PDO(...);
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // 抛出异常
// ... 数据库操作 ...
} catch (PDOException $e) {
error_log("Database Error: " . $e->getMessage()); // 记录到日志
// die("发生了一个错误，请稍后再试。"); // 显示给用户的通用消息
// 或者更优雅地重定向到错误页面
header('Location: /');
exit();
}
?>

5.4 密码哈希

存储用户密码时，绝不能以明文形式存储。应使用`password_hash()`函数对密码进行哈希处理，并在验证时使用`password_verify()`。
<?php
$password = "mySecretPassword123";
$hashed_password = password_hash($password, PASSWORD_DEFAULT);
// 存储 $hashed_password 到数据库
// 验证密码
$user_input_password = "mySecretPassword123"; // 用户输入的密码
// 从数据库获取 $stored_hashed_password
if (password_verify($user_input_password, $stored_hashed_password)) {
echo "密码验证成功！";
} else {
echo "密码错误！";
}
?>

5.5 连接管理

在脚本执行完毕后，确保关闭数据库连接，释放资源。对于`mysqli`，使用`$conn->close()`；对于`PDO`，将连接对象设置为`null`。

5.6 使用ORM (Object-Relational Mapping)

对于大型或复杂的项目，可以考虑使用ORM框架（如Laravel的Eloquent ORM或Doctrine ORM）。ORM将数据库表映射为PHP对象，允许您以面向对象的方式操作数据，进一步提高开发效率和代码可维护性，同时内置了强大的安全特性。

总结

PHP访问数据库是Web开发中的核心技能。通过本教程，您应该已经掌握了使用MySQLi和PDO这两种主流扩展来连接、查询和操作数据库的基本方法，并理解了预处理语句在防止SQL注入方面的关键作用。同时，我们强调了数据库访问的安全性和最佳实践，如最小权限原则、错误处理和密码哈希等。随着您对这些基础知识的熟练掌握，您将能够构建安全、高效且可维护的PHP Web应用程序。继续深入学习数据库设计、优化和更高级的框架集成，将使您成为一名更专业的PHP开发者。```

2026-03-10

上一篇：PHP集成有道翻译API：实现自动化多语言文本处理的终极指南

下一篇：PHP 获取精确时间：从基础函数到高级实践的全面指南