本文详解如何在 php 中安全读取、解析、追加并更新 mysql 表中存储 json 格式数组的字段(如 `uyeler`),避免字符串拼接风险,推荐使用 mysqli 预处理语句与 `json_encode/json_decode` 协同操作。
在实际开发中,将结构化数据(如用户列表)以 JSON 字符串形式存入 MySQL 的 TEXT 或 JSON 类型字段是一种常见做法——尤其适用于关系不复杂、读写频次高且无需复杂关联查询的场景。但直接对 JSON 字符串进行字符串拼接(如 '$old,$new')极易导致格式损坏、SQL 注入及编码错误,必须规避。
✅ 正确流程:读 → 解析 → 追加 → 编码 → 写入
核心逻辑分四步:
- 查询当前记录:获取含 JSON 数据的字段值;
- 反序列化为 PHP 数组:使用 json_decode($json, true) 转为关联数组;
- 追加新元素:利用 $array[] = $newItem 语法安全添加;
- 序列化并安全更新:用 json_encode() 生成合法 JSON,并通过预处理语句写回数据库。
以下为完整、可运行的示例代码(已适配现代 PHP 与 MySQLi):
connect_error) {
die("连接失败: " . $vtbaglan->connect_error);
}
// 2. 查询当前数据(id=1 的 birlikler 记录)
$sorgum = $vtbaglan->query("SELECT * FROM birlikler WHERE id = 1");
if (!$sorgum || $sorgum->num_rows === 0) {
die("未找到记录");
}
$sorgu = $sorgum->fetch_assoc();
$uyesim = json_decode($sorgu['uyeler'], true); // 强制返回关联数组
// 3. 处理表单提交(追加新成员)
if (isset($_POST["verigir"])) {
// 输入过滤(生产环境务必强化校验)
$kullaniciadi = filter_input(INPUT_POST, 'kullaniciadi', FILTER_SANITIZE_STRING);
$rutbe = filter_input(INPUT_POST, 'rutbe', FILTER_SANITIZE_STRING);
$karakteradi = filter_input(INPUT_POST, 'kadi', FILTER_SANITIZE_STRING);
if (empty($kullaniciadi) || empty($rutbe) || empty($karakteradi)) {
echo "所有字段均为必填项
";
} else {
$yeniUye = [
'kullanici' => $kullaniciadi,
'rutbe' => $rutbe,
'karakteradi' => $karakteradi
];
// ✅ 安全追加:直接 push 到数组末尾
$uyesim[] = $yeniUye;
// ✅ 使用预处理防止 SQL 注入
$stmt = $vtbaglan->prepare("UPDATE birlikler SET uyeler = ? WHERE id = ?");
$jsonString = json_encode($uyesim, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES);
$stmt->bind_param('si', $jsonString, $id);
$id = 1;
if ($stmt->execute()) {
echo "✅ 成员添加成功!
";
} else {
echo "❌ 更新失败:" . $stmt->error . "
";
}
$stmt->close();
}
}
// 4. 渲染现有成员列表
echo "当前成员:
";
if (is_array($uyesim) && !empty($uyesim)) {
foreach ($uyesim as $uye) {
echo htmlspecialchars($uye['kullanici']) . "(等级:{$uye['rutbe']},角色:{$uye['karakteradi']})
";
}
} else {
echo "暂无成员
";
}
?>
⚠️ 关键注意事项
- *严禁使用已废弃的 `mysql_` 函数**:该扩展自 PHP 7.0 起已被移除,且无预处理能力,存在严重安全风险;
- 始终启用 JSON_UNESCAPED_UNICODE:避免中文被转义为 \uXXXX,提升可读性与前端兼容性;
- 输入必须过滤与验证:filter_input() 是基础防护,生产环境建议结合 htmlspecialchars() 输出、正则校验或使用 Laravel/ Symfony 等框架的验证器;
- JSON 字段类型建议:MySQL 5.7+ 支持原生 JSON 类型,可启用 $vtbaglan->options(MYSQLI_OPT_INT_AND_FLOAT_NATIVE, 1) 并配合 JSON_VALID() 函数做入库前校验;
- 并发写入风险:若多用户同时提交,需考虑加锁(如 SELECT ... FOR UPDATE)或改用原子操作(如 JSON_ARRAY_APPEND())——但后者需 MySQL 5.7+ 且字段为 JSON 类型。
✅ 总结
将 JSON 数据作为“轻量级嵌套结构”存储于关系型数据库是合理的设计权衡,前提是严格遵循「先解码、再操作、后编码、最后安全写入」的四步范式。摒弃字符串拼接、拥抱预处理语句与现代扩展(MySQLi/PDO),不仅能保障数据完整性,更为后续升级至 PHP 8+ 及云数据库迁移打下坚实基础。
立即学习“PHP免费学习笔记(深入)”;
