pdo连接需启用异常模式、复用实例、强制预处理、明确字符集与fetch模式,并禁用模拟预处理。
使用 PDO 连接数据库时,核心是安全、可维护和健壮——不是简单调用 new PDO() 就完事,关键在错误处理、连接复用、预处理和配置细节。
启用异常模式并统一捕获错误
PDO 默认的 SILENT 错误模式会静默失败,极难调试。务必在创建实例后立即设置异常模式:
- 通过
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION启用异常 - 所有数据库操作(查询、执行、事务)都应包裹在
try/catch中,避免未捕获异常导致脚本中断或敏感信息泄露 - 生产环境不要把原始 PDO 异常消息直接输出给用户,记录日志并返回友好提示
使用长连接需谨慎,优先复用 PDO 实例
PDO::ATTR_PERSISTENT => true 并非“性能银弹”:
- 持久连接在 CLI 或 FPM 模式下行为不同,可能引发连接泄漏或状态残留(如临时表、变量、事务状态)
- Web 场景中,更推荐在请求生命周期内复用单个 PDO 实例(例如通过依赖注入容器或静态属性管理),而非盲目开启持久化
- 若必须用持久连接,确保每次使用前调用
$pdo->setAttribute(PDO::ATTR_AUTOCOMMIT, true)并显式清理上下文
所有用户输入必须走预处理语句
拼接 SQL 字符串(包括用 intval() 或 addslashes() 处理)仍是常见漏洞源头:
ECTouch移动商城系统
下载
ECTouch是上海商创网络科技有限公司推出的一套基于 PHP 和 MySQL 数据库构建的开源且易于使用的移动商城网店系统!应用于各种服务器平台的高效、快速和易于管理的网店解决方案,采用稳定的MVC框架开发,完美对接ecshop系统与模板堂众多模板,为中小企业提供最佳的移动电商解决方案。ECTouch程序源代码完全无加密。安装时只需将已集成的文件夹放进指定位置,通过浏览器访问一键安装,无需对已有
立即学习“PHP免费学习笔记(深入)”;
- 参数绑定(
bindParam()或execute([$value]))由数据库驱动完成类型转换与转义,真正防注入 - 表名、字段名、排序方向等无法参数化的部分,必须白名单校验(如
in_array($table, ['users', 'posts'], true)) - 避免
query()+ 字符串拼接;即使是固定 SQL,也建议统一用prepare()/execute()流程保持一致性
合理配置字符集与其它关键属性
连接初始化阶段就明确语义,避免运行时隐式转换出错:
- 在 DSN 中指定
;charset=utf8mb4(MySQL),并确认数据库/表实际使用该编码,否则仍可能存入乱码或截断 emoji - 设置
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,避免默认返回冗余的数字索引数组 - 关闭模拟预处理(
PDO::ATTR_EMULATE_PREPARES => false)以确保 SQL 语法和类型由数据库真实校验,尤其对复杂查询或严格模式生效
不复杂但容易忽略:一次配置到位,比事后补救更省力。
