php连接mysql添加数据有3种方式:传统mysql_query(不推荐)、mysqli和pdo。其中mysqli和pdo均支持预处理语句,可有效防止sql注入。mysqli是专为mysql设计的扩展,提供面向对象和过程两种api,性能较优;pdo则提供统一的数据库抽象接口,便于切换不同数据库类型。两者均推荐使用,选择取决于项目需求和个人偏好,若需多数据库支持,首选pdo;若仅用mysql且追求性能,则选mysqli。此外,无论哪种方式都应使用预处理语句、验证输入、遵循最小权限原则以确保安全。
PHP连接MySQL后添加数据,主要有三种方式:传统mysql_query(不推荐),mysqli和PDO。各有优劣,选择哪个取决于你的项目需求和个人偏好。
mysqli 和 PDO 都是推荐的方式,可以有效防止 SQL 注入。
mysqli 方式
mysqli 是 MySQL improved 的缩写,是 PHP 官方提供的 MySQL 扩展,提供了面向对象和面向过程两种 API。
立即学习“PHP免费学习笔记(深入)”;
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检测连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com')";
if ($conn->query($sql) === TRUE) {
echo "新记录插入成功";
} else {
echo "Error: " . $sql . "<br>" . $conn->error;
}
$conn->close();
?>这段代码展示了 mysqli 的基本用法。当然,更推荐使用预处理语句来防止 SQL 注入:
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检测连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
// 准备 SQL 语句
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// 设置参数并执行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
$firstname = "Jane";
$lastname = "Doe";
$email = "jane@example.com";
$stmt->execute();
echo "新记录插入成功";
$stmt->close();
$conn->close();
?>使用预处理语句,可以将 SQL 语句和数据分离,避免直接拼接字符串,从而有效防止 SQL 注入。
PDO 方式
PDO (PHP Data Objects) 是一个为PHP访问数据库定义了一个轻量级的、一致性的接口。 也就是说,不管你使用什么数据库,都可以使用相同的函数(方法)来查询和获取数据。 PDO并非一个数据库抽象层,它只是一组规范,依赖具体的数据库驱动来实现。
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 设置 PDO 错误模式为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$sql = "INSERT INTO MyGuests (firstname, lastname, email)
VALUES ('John', 'Doe', 'john@example.com')";
// 使用 exec() ,因为没有结果返回
$conn->exec($sql);
echo "新记录插入成功";
} catch(PDOException $e) {
echo $sql . "<br>" . $e->getMessage();
}
$conn = null;
?>PDO 同样支持预处理语句:
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 设置 PDO 错误模式为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 预处理 SQL 语句
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// 插入第一行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
// 插入第二行
$firstname = "Jane";
$lastname = "Doe";
$email = "jane@example.com";
$stmt->execute();
echo "新记录插入成功";
} catch(PDOException $e) {
echo "Error: " . $e->getMessage();
}
$conn = null;
?>PDO 的优势在于其数据库抽象能力,方便切换数据库类型。
如何选择 mysqli 和 PDO?
这其实是个老生常谈的问题。
- 性能: mysqli 在连接 MySQL 时通常略快一些,因为它是专门为 MySQL 设计的。
- 数据库抽象: PDO 提供了更好的数据库抽象能力,如果你的项目未来可能需要支持多种数据库,PDO 是更好的选择。
- 易用性: 两者在使用上都比较简单,主要看个人偏好。mysqli 提供了面向对象和面向过程两种 API,选择更灵活。
- 安全性: 两者都支持预处理语句,可以有效防止 SQL 注入。
总的来说,如果你的项目只使用 MySQL,并且对性能有一定要求,mysqli 可能更适合。如果你的项目需要支持多种数据库,或者你更喜欢 PDO 的 API 风格,那么 PDO 也是一个不错的选择。
如何避免 SQL 注入?
这是个非常重要的问题,无论你选择 mysqli 还是 PDO,都必须重视 SQL 注入的防范。
- 使用预处理语句: 这是防止 SQL 注入最有效的方法。预处理语句可以将 SQL 语句和数据分离,避免直接拼接字符串。
- 使用参数化查询: 参数化查询与预处理语句类似,也是将 SQL 语句和数据分离。
- 对用户输入进行严格的验证和过滤: 永远不要信任用户的输入。对用户输入的数据进行严格的验证和过滤,可以有效防止恶意代码的注入。
- 最小权限原则: 数据库用户只应该拥有完成其工作所需的最小权限。
如何处理数据库连接错误?
数据库连接错误是常见的错误,需要进行妥善处理。
- 使用 try-catch 块: 可以使用 try-catch 块来捕获数据库连接错误,并进行相应的处理。
- 记录错误日志: 将数据库连接错误记录到错误日志中,方便排查问题。
- 向用户显示友好的错误信息: 不要直接向用户显示数据库连接错误的详细信息,这可能会暴露敏感信息。可以向用户显示友好的错误信息,例如“服务器繁忙,请稍后再试”。
除了 mysqli 和 PDO,还有其他方式连接 MySQL 吗?
虽然 mysqli 和 PDO 是目前最主流的 PHP 连接 MySQL 的方式,但也有一些其他的选择:
- mysql 扩展(已弃用): 这是 PHP 最早提供的 MySQL 扩展,但由于安全性问题,已经被官方弃用,不建议使用。
- 第三方库: 有一些第三方库也提供了 PHP 连接 MySQL 的功能,例如 Doctrine DBAL。这些库通常提供了更多的功能和抽象,但也会增加项目的复杂性。
总之,选择哪种方式取决于你的项目需求和个人偏好。但无论选择哪种方式,都必须重视安全性,避免 SQL 注入等安全问题。
