PHP中安全高效地导入CSV文件到MySQL数据库（PDO方式）

本文详解如何使用php pdo正确导入csv数据至mysql，重点解决“绑定变量数量不匹配”错误，涵盖sql语句占位符对齐、日期字段处理、类型适配及异常防护等关键实践。

本文详解如何使用php pdo正确导入csv数据至mysql，重点解决“绑定变量数量不匹配”错误，涵盖sql语句占位符对齐、日期字段处理、类型适配及异常防护等关键实践。

在使用PHP PDO批量导入CSV数据时，SQLSTATE[HY093]: Invalid parameter number 是一个高频报错，其根本原因在于：预处理语句中的问号占位符（?）数量与 execute() 传入的参数数组元素个数不一致。从您提供的代码可见，INSERT语句共声明了15个字段（含 now()），但其中 Date_product 字段被赋予了函数值 now()，不占用绑定参数位置；而后续却向 execute() 传递了15个 $row[i] 值——导致实际绑定15个变量，但SQL仅预留14个?（因 now() 是字面量，非参数），从而触发HY093错误。

✅ 正确做法：严格对齐占位符与参数数量

观察原SQL：

INSERT INTO product(
  Nom_product,Cat_product,SKU_product,Prix_achat_product,Prix_vente_product,
  Prix_promo,Stock_product,Statut_product,Date_product,Photo_product,
  Photo_product_lien,Taille_pointure,Marque_product,Video_product,Desc_product
) VALUES(
  ?, ?, ?, ?, ?,
  ?, ?, ?, now(), ?,   // ← 注意：'now()' 是常量，此处无 '?'
  ?, ?, ?, ?
)

该语句实际需要 14个 ? 占位符（Date_product 由 now() 自动填充，不参与绑定）。因此 execute() 必须只传入 14个值，对应 $row[0] 至 $row[13]（跳过 $row[8]，因其本应映射到 Date_product 字段，但该字段已由 now() 覆盖）。

修正后的核心逻辑如下：

露阳PHP企业系统1.0

1.) 将所有文件解压到php环境中，本程序才用smarty+php+mysql设计。如果运行不了，请修改hhy文件夹下的smarty.php文件改法请看说明2.) 修改configs下的config.inc.php下的连接数据库的密码和用户名3.) 本程序没有做安全页面，人工导入sql.inc到mysql数据库。管理员初始化帐号为admin，密码为hhy。后台地址：http://你的网站地址/h

下载

立即学习“PHP免费学习笔记（深入）”；

if (isset($_POST['submit']) && isset($_FILES['upcsv']['tmp_name'])) {
    $fh = fopen($_FILES['upcsv']['tmp_name'], 'r');
    if ($fh === false) {
        die('无法打开上传的CSV文件');
    }

    // 推荐：跳过CSV首行（表头），避免插入标题行
    fgetcsv($fh);

    try {
        // 预编译一次，提升性能（避免循环内重复prepare）
        $stmt = $bdd->prepare(
            "INSERT INTO product (
                Nom_product, Cat_product, SKU_product, 
                Prix_achat_product, Prix_vente_product, Prix_promo, 
                Stock_product, Statut_product, Date_product, 
                Photo_product, Photo_product_lien, Taille_pointure, 
                Marque_product, Video_product, Desc_product
            ) VALUES (
                ?, ?, ?, ?, ?, ?, ?, ?, NOW(), ?, ?, ?, ?, ?, ?
            )"
        );

        $successCount = 0;
        while (($row = fgetcsv($fh)) !== false) {
            // 确保$row至少有14列（对应14个?），不足则跳过或补空值
            if (count($row) < 14) {
                error_log("警告：CSV第" . ($successCount + 1) . "行数据不足14列，已跳过");
                continue;
            }

            // 绑定14个值：$row[0]~$row[7]（前8字段）、$row[8]~$row[13]（后6字段）
            // 注意：$row[8] 现在对应 Photo_product（因Date_product由NOW()填充，不占位）
            $params = [
                $row[0], $row[1], $row[2], $row[3], $row[4],
                $row[5], $row[6], $row[7],                    // 前8字段
                $row[8], $row[9], $row[10], $row[11], $row[12], $row[13]  // 后6字段（跳过原$row[8]作为Date）
            ];

            $stmt->execute($params);
            $successCount++;
        }
        echo "<p>✅ 成功导入 {$successCount} 条产品记录。</p>";

    } catch (PDOException $e) {
        error_log("数据库错误: " . $e->getMessage());
        echo "<p style='color:red;'>❌ 导入失败，请检查CSV格式或联系管理员。</p>";
    } finally {
        fclose($fh);
    }
}

⚠️ 关键注意事项

• 字段顺序必须严格匹配：CSV列顺序需与SQL INSERT INTO (...) 中的字段顺序完全一致，否则数据将错位（如价格写入名称字段）。
• 数据类型兼容性：
  • Prix_achat_product 和 Prix_vente_product 在DB中为 INT，请确保CSV中对应列仅含数字（可添加 (int)$row[3] 强制转换）；
  • 若CSV含空值，MySQL允许 NULL 插入，但需确认字段定义支持 NULL，否则应提供默认值（如 COALESCE(?, 0)）。
• 安全性增强建议：
  • 使用 htmlspecialchars() 或 strip_tags() 过滤文本字段（如 Desc_product），防止XSS；
  • 对文件扩展名和MIME类型做二次校验（pathinfo($_FILES['upcsv']['name'], PATHINFO_EXTENSION) === 'csv'）；
  • 设置 set_time_limit(0) 避免大文件超时（生产环境建议分批处理）。
• 健壮性优化：
  • 添加 fgetcsv($fh) 跳过首行表头；
  • 使用 try-catch 包裹单行执行，失败时记录错误行号而非中断整个导入；
  • 批量提交（如每100行 commit() 一次）可显著提升大数据量性能。

通过精准控制占位符数量、明确 NOW() 的非参数属性，并辅以数据校验与异常处理，即可稳定实现CSV到MySQL的安全导入。此方案适用于电商后台商品批量上架等典型场景。