pdo项目核心在于工程化落地:统一连接管理、强制预处理查询、严谨事务控制、安全错误处理,四者理清则项目稳健。
用 PDO 做项目,核心不是“会不会连数据库”,而是怎么让代码更稳、更易维护、不踩坑。下面这些是真实项目里反复验证过的要点。
连接管理:别每次都 new PDO
频繁创建 PDO 实例会浪费资源,还可能触发连接数限制。生产环境必须用单例或依赖注入容器统一管理连接。
- 配置信息(如 host、dbname、charset)从环境变量或配置文件读取,避免硬编码
- 务必设置 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,否则错误静默失败,排查极难
- 加上 PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,默认返回关联数组,省得每次写 fetch(PDO::FETCH_ASSOC)
- 如果用 MySQL,显式指定 charset=utf8mb4(不是 utf8),避免 emoji 和生僻字乱码
查询与参数:预处理不是摆设,要真用
拼接 SQL 是高危操作,哪怕“只是查个 id”。PDO 的预处理机制必须贯穿所有外部输入场景。
- ID、用户名、搜索关键词、分页 offset/limit —— 全部走 prepare + execute,一个都不能少
- 批量插入用 INSERT ... VALUES (?, ?), (?, ?) 配合循环 bindValue,比逐条执行快 5–10 倍
- 不要用 quote() 手动转义,它不防住所有边界情况,且破坏预处理本意
- LIKE 查询注意通配符位置:WHERE name LIKE CONCAT('%', ?, '%'),? 本身不带 %
事务控制:明确起点、终点和回滚条件
转账、订单创建、库存扣减这类操作,要么全成功,要么全回退。PDO 默认自动提交,必须手动关。
韩顺平PHP入门到精通全套笔记
下载
韩顺平,毕业于清华大学,国内著名的软件培训高级讲师,先后在新浪、点击科技、用友就职。 主持或参与《新浪邮件系统》、《橙红sns(社会化网络)网站》、《点击科技协同软件群组服务器端(Linux/solaris平台)》、《国家总参语音监控系统》、《英语学习机系统》、《用友erp(u8产品)系统》等项目。实战经验丰富,授课耐心细致,通俗易懂,勇于实践,勤于创新,授课风格贴近生活,授课语言生动风趣,多年
立即学习“PHP免费学习笔记(深入)”;
- 开始前调 $pdo->beginTransaction(),成功后 commit(),异常时 rollback()
- 在 try-catch 中写事务逻辑,catch 里必须 rollback 并 re-throw 或记录错误
- 避免在事务中做 HTTP 请求、文件写入等不可回滚操作
- 长事务会锁表,尽量缩短事务内代码,只包真正需要原子性的 DB 操作
错误与调试:别让异常暴露敏感信息
开发时开异常、看 trace;上线后关掉详细报错,但得留日志线索。
- 开发环境:display_errors=On,配合 Xdebug 查 SQL 和参数绑定是否正确
- 生产环境:display_errors=Off,但用 error_log() 记录 PDOException 的 getMessage() 和 getTraceAsString()
- 对用户只返回泛化提示(如“操作失败,请稍后重试”),绝不泄露表名、字段、SQL 片段
- 慢查询可结合 PDO::setAttribute(PDO::ATTR_EMULATE_PREPARES, false) 确保 MySQL 原生预处理,便于分析执行计划
PDO 本身很轻量,难点在工程化落地。把连接、查询、事务、错误这四块理清楚,项目就稳了一大半。
