PHP+MySQL实现CRUD之Create操作

创建操作在php+mysql的crud中负责向数据库添加新记录，核心步骤包括连接数据库、编写insert语句、使用预处理防止sql注入、处理表单数据及错误。1. 使用mysqli或pdo扩展建立数据库连接；2. 编写insert语句插入数据，字段与值一一对应；3. 通过预处理语句如mysqli的bind_param或pdo的bindparam绑定参数，防止sql注入；4. 处理html表单提交的数据，验证后插入数据库；5. 获取新记录id使用mysqli的insert_id或pdo的lastinsertid；6. 错误处理需捕获并提示具体信息以提高健壮性。完整掌握这些步骤可实现安全高效的数据插入功能。

创建（Create）操作在PHP+MySQL的CRUD（创建、读取、更新、删除）中，负责向数据库中添加新的数据记录。理解并掌握这一操作，是构建动态网站和应用程序的基础。

直接插入数据是核心。

如何使用PHP连接MySQL数据库？

首先，确保你已经安装了PHP和MySQL，并且MySQL服务正在运行。接下来，你需要使用PHP提供的MySQLi或PDO扩展来连接数据库。MySQLi是MySQL Improved Extension的缩写，而PDO（PHP Data Objects）则是一个数据库抽象层，支持多种数据库系统。

立即学习“PHP免费学习笔记（深入）”；

这里以MySQLi为例，展示如何建立连接：

connect_error) {
  die("连接失败: " . $conn->connect_error);
}
echo "连接成功";
?>

将your_username、your_password和your_database替换为你自己的MySQL用户名、密码和数据库名。如果连接成功，你将会看到"连接成功"的输出。如果连接失败，将会显示错误信息。

PDO的连接方式类似，但语法略有不同：

setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  echo "连接成功";
} catch(PDOException $e) {
  echo "连接失败: " . $e->getMessage();
}
?>

选择MySQLi还是PDO，取决于你的个人偏好和项目需求。PDO的优势在于其数据库抽象层，允许你在不修改代码的情况下切换到不同的数据库系统。MySQLi则更专注于MySQL，提供了一些特定于MySQL的功能。

如何编写SQL INSERT语句？

SQL INSERT语句用于向数据库表中插入新的数据。其基本语法如下：

INSERT INTO table_name (column1, column2, column3, ...)
VALUES (value1, value2, value3, ...);

例如，假设你有一个名为users的表，包含id、name和email三个字段。你可以使用以下SQL语句插入一条新的用户记录：

INSERT INTO users (name, email)
VALUES ('John Doe', 'john.doe@example.com');

注意，id字段通常是自增的，因此不需要在INSERT语句中指定。

在PHP中，你需要将SQL语句作为字符串传递给MySQLi或PDO的查询方法。为了防止SQL注入攻击，强烈建议使用预处理语句。

如何使用预处理语句防止SQL注入？

SQL注入是一种常见的安全漏洞，攻击者可以通过在输入字段中注入恶意SQL代码来篡改数据库。预处理语句可以有效地防止SQL注入，因为它将SQL代码和数据分开处理。

使用MySQLi的预处理语句的示例如下：

connect_error) {
  die("连接失败: " . $conn->connect_error);
}

// 准备SQL语句
$stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (?, ?)");

// 绑定参数
$stmt->bind_param("ss", $name, $email);

// 设置参数并执行
$name = "Jane Doe";
$email = "jane.doe@example.com";
$stmt->execute();

echo "新记录插入成功";

$stmt->close();
$conn->close();
?>

bind_param()函数的第一个参数指定了参数的类型。"ss"表示两个参数都是字符串类型。execute()函数执行预处理语句。

易企CMS1.8

易企CMS：国内首款完全基于SEO友好性开发的营销型企业网站系统，让企业网络营销从此易如反掌。 本程序特征：100%开发源代码，免费开源;后台管理操作简单易行;模板div+css标准设计,符合w3c标准，兼容主流浏览器;开发语言和数据库：PHP+Mysql。 本程序亮点：从基础代码开发起完全符合SEOWHY理论的SEO规范，力图实现国内首款对SEO最友好的企业网站开源程序，为企业网络营销的巨大成功

下载

使用PDO的预处理语句的示例如下：

setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

  // 准备SQL语句
  $stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");

  // 绑定参数
  $stmt->bindParam(':name', $name);
  $stmt->bindParam(':email', $email);

  // 设置参数并执行
  $name = "Jane Doe";
  $email = "jane.doe@example.com";
  $stmt->execute();

  echo "新记录插入成功";

} catch(PDOException $e) {
  echo "连接失败: " . $e->getMessage();
}

$conn = null;
?>

PDO使用命名占位符（例如:name和:email）来绑定参数。bindParam()函数将占位符与变量关联起来。

预处理语句是防止SQL注入的关键，务必在所有涉及用户输入的SQL查询中使用。

如何处理表单数据并插入数据库？

通常，用户通过HTML表单输入数据，然后将数据提交到PHP脚本进行处理。PHP脚本需要验证表单数据，然后将其插入数据库。

以下是一个简单的HTML表单示例：

  姓名: 

  邮箱: 

  

以下是一个处理表单数据并插入数据库的PHP脚本示例（insert.php）：

connect_error) {
  die("连接失败: " . $conn->connect_error);
}

// 验证表单数据
if (empty($_POST["name"]) || empty($_POST["email"])) {
  die("姓名和邮箱不能为空");
}

$name = $_POST["name"];
$email = $_POST["email"];

// 使用预处理语句插入数据
$stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->bind_param("ss", $name, $email);

if ($stmt->execute()) {
  echo "新记录插入成功";
} else {
  echo "Error: " . $stmt->error;
}

$stmt->close();
$conn->close();
?>

这个脚本首先验证表单数据是否为空。然后，它从$_POST数组中获取表单数据，并使用预处理语句将其插入数据库。

务必对所有用户输入进行验证和过滤，以防止安全漏洞。

如何获取新插入记录的ID？

有时候，你需要获取新插入记录的ID，例如在插入关联数据时。MySQLi和PDO都提供了获取最后插入ID的方法。

使用MySQLi：

$last_id = $conn->insert_id;
echo "最后插入的ID是: " . $last_id;

使用PDO：

$last_id = $conn->lastInsertId();
echo "最后插入的ID是: " . $last_id;

这些方法返回最后一次INSERT操作生成的自增ID。

如何处理插入数据时的错误？

在插入数据时，可能会发生各种错误，例如违反唯一约束、数据类型不匹配等。你应该妥善处理这些错误，并向用户提供有用的错误信息。

在上面的示例中，我们使用了$stmt->error来获取MySQLi的错误信息，并使用$e->getMessage()来获取PDO的错误信息。你可以将这些错误信息记录到日志文件中，或者将其显示给用户（在开发环境中）。

确保你的代码能够处理各种可能的错误情况，以提高应用程序的健壮性。