PHP PDO安全使用需把握四大环节:一、连接时设ERRMODE_EXCEPTION和UTF8MB4编码;二、预处理只绑定值,禁拼接SQL;三、按需选用fetch/fetchAll等取结果方法;四、事务须配try-catch与rollback兜底。
PHP PDO 是操作数据库最安全、最灵活的方式之一,核心优势在于统一接口 + 预处理防注入。真正用好它,关键不是记住语法,而是理解 连接管理、预处理逻辑、错误处理、事务控制 这四个环节怎么配合。
一、PDO 连接不是“连上就行”,要设对选项
PDO 默认的错误模式是静默失败(PDO::ERRMODE_SILENT),这意味着 SQL 写错了、字段不存在、类型不匹配,它一声不吭只返回 false —— 你根本不知道哪出问题。必须第一时间改掉:
- 设置 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,让所有错误抛出异常,便于定位
- 加上 PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,默认以关联数组取数据,不用每次写 fetch(PDO::FETCH_ASSOC)
- 中文乱码?在 DSN 里加 ;charset=utf8mb4(注意是 utf8mb4,不是 utf8),并确保数据库/表本身也是该编码
示例连接代码:
$dsn = 'mysql:host=localhost;dbname=test;charset=utf8mb4';
$pdo = new PDO($dsn, $user, $pass, [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
]);
二、预处理不是“用了就安全”,得看怎么传参
预处理防 SQL 注入的前提是:**所有用户数据都走参数绑定,绝不拼接字符串**。常见错误有三种:
立即学习“PHP免费学习笔记(深入)”;
- 把表名、字段名、ORDER BY 条件当参数绑定 → 不行!PDO 只允许绑定 值(value),不能绑定标识符(identifier)
- 用双引号拼接变量再 prepare → 比如 "SELECT * FROM user WHERE id = $id" → 完全绕过预处理,极度危险
- 绑定参数时类型写错,比如用 PDO::PARAM_INT 绑定一个含字母的字符串 → 可能被截断或报错
正确做法:
- 值一律用 占位符(? 或 :name),然后 execute() 传数组,或 bindParam()/bindValue() 单独绑
- 动态表名/字段名,只能白名单校验后硬拼(例如 in_array($table, ['user','log']) === true 才允许)
- 不确定类型时,bindValue($param, $value, PDO::PARAM_STR) 最稳妥
三、查询不止 query() 和 execute(),fetch 族方法要分清
执行完语句后,怎么取结果,直接影响性能和内存占用:
- query():适合无参数的简单查询(如 SHOW TABLES),返回 PDOStatement 对象,可直接 fetch
- prepare() + execute():带参数必走这条路
- fetch():取一条,游标下移,适合“查单条记录”或循环逐条处理(内存友好)
- fetchAll():一次性取全部,适合结果集小、后续要多次遍历的场景;大数据量慎用,容易 OOM
- fetchColumn(0):取第一列第一个值,适合 count(*)、max(id) 这类聚合查询
小技巧:想查是否存在某条记录,用 $stmt->fetch() 判断真假即可,不用 fetchAll()[0]。
四、事务不是“begin/commit 包起来”,得管住异常和连接状态
PDO 事务默认是自动提交(autocommit)开启的,不显式 startTransaction(),每条语句都会立即生效。事务出错时,常见疏漏:
- 只写了 beginTransaction() 和 commit(),没写 rollback() → 异常发生后数据已部分写入,不回滚就脏了
- 在 try-catch 里 commit 后继续执行其他逻辑,但后续出错未回滚 → 事务已结束,rollback 失效
- 跨多个方法调用事务,但 PDO 实例被重复 new 或作用域丢失 → 实际不是同一个连接,事务无效
标准写法(带异常兜底):
try {
$pdo->beginTransaction();
$pdo->prepare("INSERT INTO order ...")->execute([...]);
$pdo->prepare("UPDATE stock ...")->execute([...]);
$pdo->commit();
} catch (Exception $e) {
$pdo->rollback();
throw $e;
}基本上就这些。PDO 不复杂,但容易忽略细节。把连接设对、参数绑牢、结果拿准、事务兜住,你就已经比 80% 的 PHP 数据库用法更稳了。
