PHP字符串拼接必须用.而非+,.=是安全追加;双引号插值适合简单场景,复杂表达式须用.;大量拼接优先用implode();SQL和JSON必须用预处理和json_encode()防注入与格式错误。
PHP 里 . 和 .= 怎么用才不翻车
PHP 字符串拼接只靠一个点号 .,不是加号。写成 + 看似顺手,实际会把字符串转成数字再相加,结果完全不对——比如 "123" + "456" 得到 579,而不是 "123456"。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
-
.是唯一合法的字符串连接操作符,左右两边都会被强制转为字符串(但注意:null变成空字符串,false变成空字符串,true变成"1") -
.=是追加赋值,$str .= "abc"等价于$str = $str . "abc",比重复写左边变量更安全,也少一次临时字符串拷贝 - 别在数组或对象上直接用
.,会触发__toString()(如果定义了),否则报Fatal error: Object of class X could not be converted to string
双引号里写 $var 和用 . 拼接,哪个更快
双引号内插值("Hello $name")看着省事,但底层仍要解析变量名、做上下文查找;而 "Hello " . $name 是纯线性拼接,无解析开销。性能差异在单次调用里几乎感知不到,但在高频循环中(比如日志拼接、模板渲染)能测出 10%–20% 差距。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 简单插值(1–2 个变量)用双引号更可读,比如
"User {$user->id} logged in" - 含复杂表达式(函数调用、数组下标、三元运算)必须用
.拼接,双引号里不支持$arr[func()]这种写法 - 避免在双引号里嵌套大数组或对象,PHP 会尝试转换整个结构,可能触发意外的
__toString()或内存暴涨
拼接大量字符串时,implode() 比反复 .= 更稳
用循环不断 $html .= "<div>...</div>" 看似自然,但 PHP 字符串是 copy-on-write 的,每次 .= 都可能触发内存重分配。当拼接几百次以上,性能下降明显,还容易触发 memory_limit 报错。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 先把片段存进数组,最后用
implode("", $parts)一次性合成,内存和时间都更可控 - 不要用
implode()拼 HTML 属性值这类需要引号包裹的内容,比如implode(' ', ["class='btn'", "data-id=123"])容易漏转义,不如老老实实用. - 如果片段来自数据库或文件流,优先考虑输出缓冲(
ob_start())或直接echo,避免全量拼接进内存
JSON 或 SQL 拼接里混用 .,为什么总出错
很多人用 "SELECT * FROM user WHERE id = " . $id,或者 '{"name":"' . $name . '"}',表面跑得通,实则埋雷:没过滤 $id 就是 SQL 注入,$name 含双引号或反斜杠就让 JSON 格式崩掉。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- SQL 拼接必须用预处理(
PDO::prepare()/mysqli_prepare()),别碰字符串拼接 - 生成 JSON 必须用
json_encode(),哪怕只是拼一个字段:'{"name":' . json_encode($name) . '}'—— 注意json_encode()自动加引号和转义 - 调试时用
var_dump(json_last_error_msg())查 JSON 失败原因,常见是字符编码非 UTF-8 或含不可见控制符
最麻烦的不是语法怎么写,而是拼接动作发生在哪一层:业务逻辑里拼 SQL?模板里拼 HTML?还是 API 返回前拼 JSON?位置错了,再对的 . 也救不回来。
