使用预处理语句可防止sql注入并提升执行效率,需通过bindparam()或execute()绑定参数;合理配置pdo属性如errmode_exception、fetch_assoc、emulate_prepares=false;复用pdo连接与预处理对象;结合慢日志和执行计时定位性能瓶颈。
使用预处理语句防止 SQL 注入并提升执行效率
直接拼接 SQL 字符串不仅危险,还会让数据库无法有效复用执行计划。PDO 的 prepare() + execute() 是标准做法。即使只执行一次,预处理也能让 MySQL 缓存解析后的语句结构,后续同结构查询更快。
- 所有用户输入必须通过 bindParam() 或 execute([$value]) 绑定,不拼接字符串
- 对频繁调用的查询(如根据 ID 查用户),复用已 prepare 的 PDOStatement 对象,避免重复 prepare 开销
- 批量插入时,用一个预处理语句 + 多次 execute,比逐条 execute 普通语句快 3–5 倍
合理设置 PDO 属性减少隐式开销
PDO 默认行为常带额外负担,几个关键属性应显式配置:
- PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION:用异常代替 false 返回,避免漏判错误
- PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC:省去每次 fetch 时指定模式,返回关联数组更直观
- PDO::ATTR_EMULATE_PREPARES => false:关闭模拟预处理,确保走 MySQL 原生预处理协议,尤其在需要严格类型或 LIMIT 参数时必要
- PDO::MYSQL_ATTR_USE_BUFFERED_QUERY => true(默认):保持启用,避免未读完结果集就发新查询报错
连接管理:复用连接、控制生命周期
PDO 实例本身不是轻量对象,但更关键的是底层数据库连接。PHP-FPM 模式下,脚本结束会自动关闭连接;CLI 或长连接场景需注意:
DESTOON B2B网站管理系统
下载
DESTOON B2B网站管理系统是一套完善的B2B(电子商务)行业门户解决方案。系统基于PHP+MySQL开发,采用B/S架构,模板与程序分离,源码开放。模型化的开发思路,可扩展或删除任何功能;创新的缓存技术与数据库设计,可负载千万级别数据容量及访问。
- 避免在函数内反复 new PDO(),将连接实例作为依赖注入或单例管理
- 不手动调用 $pdo->close()(PDO 没有该方法),依靠作用域结束或显式 unset($pdo) 触发析构
- 高并发下可配合 MySQL 连接池中间件(如 ProxySQL),但 PHP 层仍应做好连接超时与重试逻辑
查询优化:从 PDO 层感知性能瓶颈
PDO 不负责 SQL 优化,但可通过它暴露问题:
立即学习“PHP免费学习笔记(深入)”;
- 开启 MySQL 慢查询日志,结合应用中记录 PDO 执行耗时(microtime(true) 包裹 execute)定位慢操作
- 用 PDO::getAttribute(PDO::ATTR_SERVER_VERSION) 判断 MySQL 版本,决定是否启用 JSON 函数、窗口函数等特性
- 查询只需部分字段时,绝不写 SELECT *;大文本/二进制字段(如 content、avatar)单独按需查,避免拖慢整行传输
