推荐使用 pdo 或 mysqli 连接 mysql,禁用已移除的 mysql_* 函数;pdo 需启用 pdo_mysql 扩展、设置异常模式、安全传参;mysqli 应检查连接错误、正确设字符集、规范预处理;预处理仅防数据注入,结构动态部分须白名单校验;持久连接非连接池,高并发慎用;务必统一字符集与时区。
PHP 连接 MySQL 数据库,推荐直接用 PDO 或 mysqli,mysql_* 函数早已被 PHP 7.0 移除,继续用会报 Fatal error: Uncaught Error: Call to undefined function mysql_connect()。
怎么用 PDO 安全连接 MySQL
PDO 支持预处理、多数据库切换,且默认启用异常模式后错误更易捕获。
- 确保
pdo_mysql扩展已启用(检查phpinfo()中是否有PDO drivers => mysql) - 连接时必须显式设置
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,否则 SQL 错误可能静默失败 - 用户名/密码不要硬编码,从环境变量或配置文件读取,例如:
getenv('DB_USER') - 连接字符串中避免在
host后加端口(如localhost:3307),应改用port=3307参数,否则 PDO 可能解析失败
$dsn = 'mysql:host=localhost;dbname=testdb;charset=utf8mb4;port=3306';
try {
$pdo = new PDO($dsn, $user, $pass, [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
]);
} catch (PDOException $e) {
// 记录 $e->getMessage() 和 $e->getCode(),但不要直接输出给前端
}
mysqli 面向对象方式怎么写才不容易出错
比过程式调用更清晰,且支持 MySQLi_STMT 预处理,适合多数中小型项目。
- 连接后立即检查
$mysqli->connect_error,而不是等执行查询时才发现连不上 - 使用
set_charset('utf8mb4')而不是set_charset('utf8'),后者不支持 emoji 和部分生僻字 - 预处理语句的参数类型要用对:
s(string)、i(integer)、d(double)、b(blob),类型不匹配会导致绑定失败但无提示 - 不要在循环里反复
new mysqli(),复用连接对象;长连接需注意超时(wait_timeout)和连接泄漏
$mysqli = new mysqli('localhost', $user, $pass, 'testdb', 3306);
if ($mysqli->connect_error) {
die('Connect failed: ' . $mysqli->connect_error);
}
$mysqli->set_charset('utf8mb4');
$stmt = $mysqli->prepare('SELECT id, name FROM users WHERE status = ? AND created_at > ?');
$stmt->bind_param('is', $status, $since);
$status = 'active';
$since = '2024-01-01';
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// 处理数据
}
为什么 prepared statement 不能防止所有 SQL 注入
预处理只保护「数据值」,不保护「结构」。表名、字段名、排序方向(ASC/DESC)、LIMIT 偏移量等动态部分仍需手动校验。
立即学习“PHP免费学习笔记(深入)”;
- 表名不能用
?占位,得白名单过滤:in_array($table, ['users', 'posts'], true) - 排序字段只能从固定字段列表选,不能直接拼接用户输入的
$_GET['sort'] - LIMIT 的 offset 和 count 必须强制转为
(int),且 offset ≥ 0,count > 0 并设上限(如 ≤ 100) - 不要用
mysqli_real_escape_string()去“修补”未预处理的查询——它在宽字节或多字节编码场景下有绕过风险
连接池和持久连接真有必要吗
PHP-FPM 场景下,PDO::ATTR_PERSISTENT => true 或 mysqli::options(MYSQLI_OPT_PERSISTENT, true) 并不等于连接池,只是让连接在请求结束后不关闭、留待下次复用。
- 持久连接会受 MySQL
max_connections限制,且空闲连接可能被服务端主动断开(wait_timeout),导致下次使用时报MySQL server has gone away - 高并发下反而容易耗尽连接数,尤其当脚本异常退出未释放资源时
- 真正需要连接池的场景(如 CLI 长进程、Swoole),应改用
mysqlnd_ms、ProxySQL或应用层连接池组件,而非依赖 PHP 内置持久化 - 大多数 Web 请求场景,短连接 + 连接复用(如 FPM worker 内复用)已足够,优先优化查询和索引
最常被忽略的是字符集和时区一致性:PHP 连接层、MySQL 服务端、表字段、连接字符串、甚至客户端(如 PHPMyAdmin)的 time_zone 都要对齐,否则 NOW()、STR_TO_DATE() 或时间范围查询会出偏差。
