本文详解如何使用 PHP 的 LOAD DATA LOCAL INFILE 安全、可靠地将本地上传的 CSV 文件批量导入 MySQL 数据库表,涵盖路径处理、SQL 语法修正、权限配置及常见错误规避。
本文详解如何使用 php 的 `load data local infile` 安全、可靠地将本地上传的 csv 文件批量导入 mysql 数据库表,涵盖路径处理、sql 语法修正、权限配置及常见错误规避。
在 Web 应用中,通过表单上传 CSV 并批量写入数据库是高频需求。但直接使用 LOAD DATA LOCAL INFILE 时极易因路径误用、引号缺失或权限限制而报错(如 SQLSTATE[42000]: Syntax error... near 'student.csv INTO TABLE...')。根本原因在于:LOAD DATA LOCAL INFILE 要求文件路径指向数据库服务器上的可访问位置,而非客户端原始文件名;且文件名必须用单引号包裹。
以下为经过生产验证的完整实现方案:
✅ 正确步骤与关键修复点
-
获取并保存临时文件到服务端可读路径
浏览器上传的文件仅暂存于 $_FILES["myfile"]["tmp_name"],需主动移动至脚本同级(或其他指定)目录:$uploadedFile = $_FILES["myfile"]["name"]; $targetPath = "./" . basename($uploadedFile); if (!move_uploaded_file($_FILES["myfile"]["tmp_name"], $targetPath)) { die("文件上传失败:请检查目录是否具有写入权限(chmod 755 或 777)"); } -
构造合法 SQL —— 必须使用单引号包裹文件路径
原代码中 $uploadedFile 未加引号,导致 SQL 解析为 LOAD DATA LOCAL INFILE student.csv ...(非法标识符),正确写法为:$sql = "LOAD DATA LOCAL INFILE '" . $targetPath . "' INTO TABLE " . $studentTable . " FIELDS TERMINATED BY ',' LINES TERMINATED BY '\n' IGNORE 1 LINES";⚠️ 注意:LINES TERMINATED BY '\n' 适用于 Unix/Linux 换行;若 CSV 来自 Windows,应改为 '\r\n';Mac 可能为 '\r'。建议统一用 file() + fgetcsv() 预检首行换行符。
-
PDO 连接必须启用 LOCAL_INFILE 支持
除连接选项外,还需确保 MySQL 服务端允许该操作(部分托管环境默认禁用):$conn = new PDO( "mysql:host=$servername;dbname=$dbname", $username, $password, [ PDO::MYSQL_ATTR_LOCAL_INFILE => true, // 启用 LOCAL INFILE PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION ] );
? 安全与稳定性增强建议
-
路径白名单校验:防止目录遍历攻击
商达讯网店系统豪华版下载sdxShop是一款完全开源免费的网上独立建店系统,asp+access,程序经过专业团队开发升级发展了7年,功能和安全性已经达到非常成熟稳定,安装容易,一分钟就可以搭起专业的电子商务网站。该免费版功能完整永久免费,主要特色功能淘宝数据表导入,实现网店和淘宝网店数据统一,拓展网店经营策略,提供5种在线支付接口等等。
立即学习“PHP免费学习笔记(深入)”;
$safeName = preg_replace('/[^a-zA-Z0-9_.-]/', '', $uploadedFile); // 仅保留安全字符 $targetPath = "./uploads/" . $safeName; // 推荐专用 uploads/ 子目录 -
CSV 格式预校验(可选但推荐)
在执行 LOAD DATA 前,用 fgetcsv() 读取前几行验证字段数、编码(UTF-8 BOM)、分隔符一致性:$handle = fopen($targetPath, 'r'); $firstRow = fgetcsv($handle, 0, ','); fclose($handle); if (!$firstRow || count($firstRow) !== 5) { // 假设目标表有 5 列 throw new Exception("CSV 列数不匹配,请检查格式"); } -
MySQL 服务端配置确认
执行 SHOW VARIABLES LIKE 'local_infile';,确保值为 ON;若为 OFF,需在 MySQL 配置文件中添加:[mysqld] local_infile=ON [client] local_infile=ON
并重启服务(部分云数据库需在控制台开启「本地文件导入」开关)。
✅ 最终可运行示例(精简版)
<?php
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "onlinepaydb";
$studentTable = "studentregtable";
if ($_SERVER["REQUEST_METHOD"] === "POST" && isset($_FILES["myfile"])) {
$originalName = $_FILES["myfile"]["name"];
$safeName = preg_replace('/[^a-zA-Z0-9_.-]/', '', $originalName);
$targetPath = "./uploads/" . $safeName;
// 创建 uploads 目录(若不存在)
if (!is_dir("./uploads")) mkdir("./uploads", 0755, true);
if (!move_uploaded_file($_FILES["myfile"]["tmp_name"], $targetPath)) {
die("文件保存失败,请检查 ./uploads 目录权限");
}
try {
$conn = new PDO(
"mysql:host=$servername;dbname=$dbname",
$username,
$password,
[PDO::MYSQL_ATTR_LOCAL_INFILE => true, PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]
);
$sql = "LOAD DATA LOCAL INFILE '" . $targetPath . "'
INTO TABLE " . $studentTable . "
FIELDS TERMINATED BY ','
LINES TERMINATED BY '\n'
IGNORE 1 LINES";
$conn->exec($sql);
echo "<p style='color:green'>✅ 成功导入:" . $conn->lastInsertId() . " 行数据</p>";
} catch (PDOException $e) {
echo "<p style='color:red'>❌ 导入失败:" . htmlspecialchars($e->getMessage()) . "</p>";
}
}
?>
<!DOCTYPE html>
<html>
<head><meta charset="UTF-8"></head>
<body>
<form method="post" enctype="multipart/form-data">
<label>选择 CSV 文件(首行为字段名):</label>
<input type="file" name="myfile" accept=".csv" required><br><br>
<button type="submit">开始导入</button>
</form>
</body>
</html>? 总结:LOAD DATA LOCAL INFILE 是高效批量导入方案,但成功依赖三要素——服务端文件路径真实存在 + SQL 中路径加单引号 + MySQL 服务端及 PDO 双重启用 local_infile。跳过任一环节均会导致语法错误或拒绝访问。生产环境务必加入文件校验与异常兜底,避免数据污染。
