pdo 是 php 中用于连接数据库的统一接口,支持多种数据库类型并具备安全性与面向对象特性。其核心优势是预处理语句,可有效防止 sql 注入。使用 pdo 连接 mysql 需确保开启了 php_pdo_mysql 扩展,并通过 dsn 指定主机、数据库名和字符集等信息进行连接。常见问题包括:1. 连接失败时应检查用户名密码、mysql服务状态、主机地址及防火墙设置;2. 字符集建议使用 utf8mb4 并可在 dsn 或连接后设置;3. 查询结果可通过 fetch() 或 fetchall() 多种方式获取。为防注入,推荐使用预处理语句,将用户输入作为参数绑定执行,保障 sql 安全。
连接MySQL数据库是PHP开发中最基础也是最常用的功能之一。使用PDO(PHP Data Objects)方式连接,不仅支持多种数据库类型,而且具备更好的安全性和面向对象的特性。
什么是PDO?
PDO 是 PHP 提供的一组用于访问数据库的抽象层接口。它不是某个具体的数据库驱动,而是一个统一的操作接口。这意味着你用 PDO 写的代码,在更换数据库类型时改动很小,比如从 MySQL 换成 PostgreSQL 只需改一下连接参数和部分语法。
它的最大优势是预处理语句(Prepared Statements),可以有效防止 SQL 注入,提升安全性。
立即学习“PHP免费学习笔记(深入)”;
如何使用PDO连接MySQL?
要使用 PDO 连接 MySQL,首先确保你的 PHP 环境已经开启了 php_pdo_mysql 扩展。一般在 php.ini 文件中取消注释这一行:
extension=pdo_mysql
然后就可以开始写连接代码了。
try {
$dsn = 'mysql:host=localhost;dbname=testdb;charset=utf8mb4';
$username = 'root';
$password = 'your_password';
$pdo = new PDO($dsn, $username, $password);
// 设置错误模式为异常
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
echo '连接失败: ' . $e->getMessage();
}上面这段代码中:
-
dsn是数据源名称,包含主机地址、数据库名和字符集。 -
setAttribute()设置错误报告模式,方便调试。 - 使用 try-catch 捕获连接异常,避免程序崩溃。
常见问题与建议
1. 数据库连接不上怎么办?
- 检查用户名密码是否正确
- 确认MySQL服务是否运行
- 查看主机地址是否填写正确(如localhost、IP或域名)
- 检查防火墙是否阻止了数据库端口(默认3306)
2. 字符集设置不生效?
推荐使用 utf8mb4 而不是 utf8,因为 utf8 在 MySQL 中只支持最多 3 字节的字符,utf8mb4 支持 4 字节(如表情符号)。
Difeye是一款超轻量级PHP框架,主要特点有: Difeye是一款超轻量级PHP框架,主要特点有: ◆数据库连接做自动主从读写分离配置,适合单机和分布式站点部署; ◆支持Smarty模板机制,可灵活配置第三方缓存组件; ◆完全分离页面和动作,仿C#页面加载自动执行Page_Load入口函数; ◆支持mysql,mongodb等第三方数据库模块,支持读写分离,分布式部署; ◆增加后台管理开发示例
可以在 DSN 中指定:
$dsn = 'mysql:host=localhost;dbname=testdb;charset=utf8mb4';
也可以在连接后执行:
$pdo->exec("SET NAMES 'utf8mb4'");3. 查询结果怎么获取?
PDO 支持多种获取方式:
-
fetch(PDO::FETCH_ASSOC):返回关联数组 -
fetch(PDO::FETCH_NUM):返回索引数组 -
fetch(PDO::FETCH_OBJ):返回对象 -
fetchAll():一次性获取所有结果
例如:
$stmt = $pdo->query('SELECT * FROM users');
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
print_r($row);
}小技巧:使用预处理语句防注入
这是 PDO 最实用的功能之一。直接拼接 SQL 字符串很容易被注入攻击,而预处理语句会把用户输入当参数处理,而不是 SQL 语句的一部分。
$stmt = $pdo->prepare('INSERT INTO users (name, email) VALUES (?, ?)');
$stmt->execute([$name, $email]);或者命名占位符:
$stmt = $pdo->prepare('INSERT INTO users (name, email) VALUES (:name, :email)');
$stmt->execute([':name' => $name, ':email' => $email]);这样即使用户输入恶意内容,也不会影响 SQL 结构。
基本上就这些。PDO 的用法不算复杂,但很多新手容易忽略细节,比如错误处理、字符集设置和预处理机制。把这些掌握好了,连接数据库就非常稳了。
