如何正确使用 PDO 预处理语句向 MySQL 数据库插入数据

本文详解 pdo 命名占位符与问号占位符在 insert 操作中的正确用法，重点解决“sqlstate[hy093]：绑定变量数量不匹配”这一常见错误，并提供可直接运行的修复示例和安全实践建议。

在 PHP 中通过 PDO 向 MySQL 数据库插入表单数据时，若使用命名参数（如 :adresse）却以索引数组方式传参，将触发致命错误：PDOStatement::execute(): SQLSTATE[HY093]: Invalid parameter number。其根本原因在于：命名占位符必须配合关联数组（key 为带冒号的占位符名）使用；而问号占位符才支持顺序索引数组。

✅ 正确做法一：命名占位符 + 关联数组（推荐）

$sqlQuery = 'INSERT INTO succursale(adresse, ouverture, fermeture, ouvert_raison) 
             VALUES (:adresse, :ouverture, :fermeture, :ouvert_raison)';
$req = $conn->prepare($sqlQuery);

// ✅ 关键：键名必须严格匹配占位符（含冒号），值为过滤后的 POST 数据
$req->execute([
    ':adresse'       => filter_input(INPUT_POST, 'adresse', FILTER_SANITIZE_STRING),
    ':ouverture'     => filter_input(INPUT_POST, 'ouverture', FILTER_SANITIZE_STRING),
    ':fermeture'     => filter_input(INPUT_POST, 'fermeture', FILTER_SANITIZE_STRING),
    ':ouvert_raison' => filter_input(INPUT_POST, 'ouvert_raison', FILTER_SANITIZE_STRING)
]);

? 提示：filter_input() 替代直接访问 $_POST，可有效防范 XSS 和基础注入风险；生产环境还应配合 FILTER_VALIDATE_* 或自定义验证逻辑。

✅ 正确做法二：问号占位符 + 索引数组（简洁但易错位）

$sqlQuery = 'INSERT INTO succursale(adresse, ouverture, fermeture, ouvert_raison) 
             VALUES (?, ?, ?, ?)';
$req = $conn->prepare($sqlQuery);

// ✅ 参数顺序必须与 SQL 中 ? 的位置完全一致
$req->execute([
    filter_input(INPUT_POST, 'adresse', FILTER_SANITIZE_STRING),
    filter_input(INPUT_POST, 'ouverture', FILTER_SANITIZE_STRING),
    filter_input(INPUT_POST, 'fermeture', FILTER_SANITIZE_STRING),
    filter_input(INPUT_POST, 'ouvert_raison', FILTER_SANITIZE_STRING)
]);

⚠️ 常见错误与注意事项

• ❌ 错误示例（原文问题）：

  $req->execute([$_POST['adresse'], $_POST['ouverture'], ...]); // 缺少键名，PDO 无法映射

• ✅ 始终验证数据库连接状态：

  if (!$conn) {
      throw new Exception("PDO 连接失败，请检查配置");
  }

• ✅ 执行后建议检查影响行数，确保插入成功：

  if ($req->rowCount() === 1) {
      echo "✅ 数据添加成功";
  } else {
      echo "⚠️ 插入失败，请检查字段约束（如 NOT NULL、唯一索引等）";
  }

• ? 生产环境务必启用 PDO 错误模式为异常（避免静默失败）：

  $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

掌握占位符与参数传递方式的严格对应关系，是编写健壮、安全数据库操作代码的第一道防线。优先采用命名占位符，语义清晰、易于维护；若字段较多，还可进一步封装为方法或使用 ORM 工具提升开发效率与安全性。

动态WEB网站中的PHP和MySQL：直观的QuickPro指南第2版

动态WEB网站中的PHP和MySQL详细反映实际程序的需求，仔细地探讨外部数据的验证(例如信用卡卡号的格式)、用户登录以及如何使用模板建立网页的标准外观。动态WEB网站中的PHP和MySQL的内容不仅仅是这些。书中还提到如何串联JavaScript与PHP让用户操作时更快、更方便。还有正确处理用户输入错误的方法，让网站看起来更专业。另外还引入大量来自PEAR外挂函数库的强大功能，对常用的、强大的包

下载