该用PDO。因需多数据库兼容、事务嵌套或未来迁移时PDO是唯一合理选择;其预处理更安全直观,开启异常模式后错误处理更可靠,统一使用可避免安全风险。
mysqli_connect() 和 new PDO() 哪个该用?看场景定
如果只是写个简单后台、连一个 MySQL 数据库、不换数据库、也不需要预处理防注入,mysqli_connect() 足够轻快;但只要涉及多数据库兼容、事务嵌套、或未来可能迁移到 PostgreSQL/SQLite,PDO 是唯一合理选择。别被“PDO 更慢”这种过时说法误导——现代 PHP 版本里两者性能差异可忽略,真正拖慢的是没加索引的查询和没复用的连接。
预处理语句写法差异大,稍不注意就漏防注入
mysqli 的预处理必须分三步:prepare() → bind_param() → execute(),类型字符("s"、"i")容易写错或漏写;PDO 支持命名参数(:name)和问号占位(?),execute() 直接传数组,更直观也更难出错。但要注意:PDO::ATTR_EMULATE_PREPARES 默认为 true,在 MySQL 5.7+ 下可能导致某些边界 case(比如 LIKE ? 带通配符)不走真实预处理——线上环境建议显式设为 false。
错误处理机制完全不同,不设好就静默失败
mysqli 默认是“静默模式”,query() 出错只返回 false,必须手动调用 mysqli_error() 才能看到报错;PDO 默认也是静默,但只需一行配置就能全局开启异常:$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION)。没开这个,execute() 失败也不会抛异常,很容易在 if 判断里漏掉错误分支。另外,mysqli 的 multi_query() 不支持预处理,想批量执行带参数的语句?只能用 PDO 或自己拼 SQL(不推荐)。
连接管理与长连接容易踩坑
mysqli 的持久连接靠 mysqli_pconnect() 或在 DSN 里加 p: 前缀(如 "p:localhost"),但 PHP-FPM 下实际复用效果受 mysqlnd 配置和进程生命周期影响很大;PDO 没有专用持久连接函数,全靠 DSN 加 PDO::ATTR_PERSISTENT => true,且必须确保每次获取连接后都显式关闭(或依赖脚本结束自动释放),否则连接数可能涨满。还有一个细节:mysqli 的 ping() 方法能主动检测连接是否断开,PDO 没有等价方法,得靠捕获 PDOException 或执行 "SELECT 1" 来判断。
立即学习“PHP免费学习笔记(深入)”;
真正麻烦的不是语法选哪个,而是团队里有人用 mysqli_real_escape_string() 拼 SQL,有人用 PDO 却忘了关模拟预处理——混合使用时安全水位线会迅速模糊。统一用 PDO 并强制开启异常模式,是最省心的底线方案。
