php里mysql_query怎么用_执行sql语句的详细操作【方法】

php 7.0起mysql_query函数被彻底移除，因整个mysql_*函数族自5.5.0起被弃用，存在安全与维护问题；替代方案为mysqli（过程式/面向对象）或pdo（支持预处理、跨库、事务），需注意连接显式传递、字符集设置、sql注入防护及环境兼容性。

mysql_query 已经彻底不能用了

PHP 7.0 起，mysql_query 函数被直接移除，调用会报 Fatal error: Uncaught Error: Call to undefined function mysql_query()。这不是配置问题，也不是扩展没开——它被删了，连源码里都找不到了。

原因很简单：整个 mysql_* 函数族（包括 mysql_connect、mysql_fetch_array 等）早在 PHP 5.5.0 就被标记为 deprecated，官方明确说“不安全、不支持预处理、无面向对象接口”，且底层依赖的 MySQL C API 已停止维护。

现在能用的只有两个替代方案：mysqli 和 PDO。选哪个？看场景：

• 只做简单查询、快速改老项目？用 mysqli 过程式写法最接近原来习惯
• 要防 SQL 注入、跨数据库、事务控制或将来可能换数据库？必须上 PDO

mysqli_query 怎么替代 mysql_query

mysqli_query 不是“换个函数名就行”，它必须先建立连接，而且连接资源要显式传入（或使用面向对象方式）。常见错误是直接照搬旧代码，漏掉连接步骤，结果报 mysqli_query() expects parameter 1 to be mysqli, null given。

立即学习“PHP免费学习笔记（深入）”；

最简可用写法（过程式）：

聚蜂消防BeesFPD

关注消防领域的智慧云平台

下载

$conn = mysqli_connect('localhost', 'user', 'pass', 'db');
if (!$conn) {
    die('连接失败: ' . mysqli_connect_error());
}
$result = mysqli_query($conn, "SELECT * FROM users WHERE id = 1");
if ($result) {
    $row = mysqli_fetch_assoc($result);
}

注意点：

• mysqli_query 第一个参数是连接资源 $conn，不是主机名
• 查询失败时返回 false，不是空结果集，务必用 if ($result) 判断
• 执行 INSERT/UPDATE 后想取自增 ID，得用 mysqli_insert_id($conn)，不是 mysql_insert_id()
• 中文乱码？在 mysqli_connect 后立刻加 mysqli_set_charset($conn, 'utf8mb4')

PDO::query 执行 SQL 的安全写法

直接用 PDO::query 执行拼接的 SQL，和当年 mysql_query 一样危险。它不自动转义变量，遇到用户输入就容易被注入。比如 $name = $_GET['name']; $pdo->query("SELECT * FROM users WHERE name = '$name'") —— 这跟 mysql_query 写法毫无区别，只是换了个壳。

真正该用的是 PDO::prepare + execute：

$stmt = $pdo->prepare("SELECT * FROM users WHERE status = ? AND created_at > ?");
$stmt->execute(['active', '2024-01-01']);
$rows = $stmt->fetchAll();

为什么必须这样？

• 问号占位符由 PDO 底层驱动处理，绕过字符串拼接，SQL 结构和数据彻底分离
• 不需要手动调用 addslashes 或 mysqli_real_escape_string，那些函数本身就有边界漏洞
• PDO::query 只适合执行纯静态 SQL（比如 "CREATE TABLE ..."），带变量一律走 prepare
• 连接时加上 PDO::ATTR_EMULATE_PREPARES => false，强制用 MySQL 原生预处理，避免模拟模式下的边缘绕过

查不到数据？先确认这三件事

迁移到 mysqli 或 PDO 后，常出现“SQL 在 phpMyAdmin 里能跑，代码里返回空”的情况。大概率不是语法问题，而是环境细节没对齐：

• 检查 MySQL 用户权限：新连接默认可能没有 SELECT 权限，或只允许本地访问，而 mysqli_connect('127.0.0.1') 和 'localhost' 在 MySQL 权限系统里是两个不同 host
• 确认字符集：旧代码可能靠 SET NAMES utf8 临时生效，但 mysqli 和 PDO 需在连接时指定，否则中文条件查不到、存进去也是乱码
• 注意 SQL 模式：MySQL 8.0 默认开启 STRICT_TRANS_TABLES，旧代码里 INSERT INTO t (a) VALUES ('') 插空字符串可能被拒绝，报 Data truncated for column 'a'

这些点不解决，光改函数名只会让问题从“报错”变成“静默失败”。