详解PHP向MySQL表添加记录的教程

要使用php向mysql表添加记录并防止sql注入，需采用预处理语句和参数化查询。1. 建立数据库连接，使用mysqli或pdo扩展；2. 构造insert语句，通过预处理将sql结构与数据分离，防止恶意代码注入；3. 使用bind_param（mysqli）或bindparam（pdo）绑定参数，确保数据安全传输；4. 处理不同数据类型时，如整数用“i”、字符串用“s”、日期用yyyy-mm-dd格式；5. 插入失败时启用错误报告、检查连接、打印sql语句、查看mysql日志，并利用try-catch块（pdo）或$stmt->error（mysqli）获取详细错误信息进行调试。

直接使用PHP向MySQL表添加记录，核心在于构建正确的SQL INSERT语句，并使用PHP的MySQL扩展（mysqli 或 PDO）安全地执行它。

解决方案

首先，你需要一个数据库连接。这通常涉及主机名、用户名、密码和数据库名。然后，构造你的INSERT语句，小心转义任何用户提供的数据以防止SQL注入。最后，执行查询并检查是否成功。

立即学习“PHP免费学习笔记（深入）”；

如何防止SQL注入攻击？

SQL注入是向MySQL数据库添加记录时最大的威胁。永远不要直接将用户输入插入到SQL查询中。相反，使用预处理语句和参数化查询。

• mysqli (面向对象风格):

  $servername = "localhost";
  $username = "your_username";
  $password = "your_password";
  $dbname = "your_database";
  
  $conn = new mysqli($servername, $username, $password, $dbname);
  
  if ($conn->connect_error) {
      die("Connection failed: " . $conn->connect_error);
  }
  
  $firstname = $_POST['firstname']; // 假设从表单获取
  $lastname = $_POST['lastname'];
  $email = $_POST['email'];
  
  $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
  $stmt->bind_param("sss", $firstname, $lastname, $email); // "sss" 表示三个字符串
  
  if ($stmt->execute() === TRUE) {
      echo "New record created successfully";
  } else {
      echo "Error: " . $stmt->error;
  }
  
  $stmt->close();
  $conn->close();

  登录后复制

• PDO (PHP Data Objects):

  $servername = "localhost";
  $username = "your_username";
  $password = "your_password";
  $dbname = "your_database";
  
  try {
      $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
      $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  
      $firstname = $_POST['firstname']; // 假设从表单获取
      $lastname = $_POST['lastname'];
      $email = $_POST['email'];
  
      $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (:firstname, :lastname, :email)");
      $stmt->bindParam(':firstname', $firstname);
      $stmt->bindParam(':lastname', $lastname);
      $stmt->bindParam(':email', $email);
  
      $stmt->execute();
  
      echo "New record created successfully";
  } catch(PDOException $e) {
      echo "Error: " . $e->getMessage();
  }
  
  $conn = null;

  登录后复制

这两种方法都使用预处理语句，其中SQL查询的结构与数据分开发送。数据库知道哪些是SQL命令，哪些是数据，从而防止恶意代码的注入。

如何处理不同数据类型（整数、日期等）？

在上面的例子中，我们假设所有数据都是字符串。如果你的表包含整数、日期或其他数据类型，你需要相应地调整bind_param（对于mysqli）或bindParam（对于PDO）。

• 整数 (mysqli): 将"sss"更改为 "iis" (如果第一个参数是整数，其余是字符串)。
• 日期 (mysqli/PDO): MySQL通常接受YYYY-MM-DD格式的日期。你可以使用PHP的date()函数来格式化日期。确保你使用预处理语句，而不是直接将格式化的日期字符串插入到查询中。

如果插入失败，如何调试？

插入失败可能有很多原因，例如数据库连接问题、SQL语法错误、数据类型不匹配或违反约束（例如，唯一性约束）。

1. 错误报告: 确保你的PHP配置启用了错误报告。在开发环境中，将error_reporting(E_ALL);和ini_set('display_errors', 1);添加到你的PHP脚本的顶部。
2. 检查连接: 验证你的数据库连接参数是否正确。
3. 打印SQL查询: 在执行查询之前，打印出完整的SQL查询（包括绑定参数的值）。这将帮助你发现语法错误或数据类型问题。 但注意不要在生产环境中这样做，因为它可能暴露敏感信息。
4. 查看MySQL错误日志: MySQL服务器通常会记录错误信息。检查MySQL错误日志以获取有关错误的更多详细信息。
5. 使用try-catch块 (PDO): PDO的try-catch块可以捕获异常，并提供关于错误的更多信息。
6. 使用$stmt->error (mysqli): $stmt->error 可以返回更详细的错误信息。

例如，如果你在使用mysqli时遇到错误：

if ($stmt->execute() === TRUE) {
    echo "New record created successfully";
} else {
    echo "Error: " . $stmt->error; // 打印mysqli错误信息
}

总而言之，向MySQL表添加记录的关键是使用预处理语句，正确处理不同的数据类型，并具有强大的调试策略。

以上就是详解PHP向MySQL表添加记录的教程的详细内容，更多请关注php中文网其它相关文章！