PHP怎样连接MySQL？PDO与MySQLi对比

php连接mysql推荐使用pdo和mysqli。1.pdo支持多种数据库，提供统一接口，适合多数据库项目或需迁移场景；2.mysqli专为mysql设计，性能略优，适合仅用mysql的项目。两者均支持预处理语句，防止sql注入，且具备错误处理与资源管理功能。相较老旧的mysql_*函数，其安全性、功能性及维护性更强，应优先选用。

PHP连接MySQL主要通过两种官方推荐且安全高效的扩展：MySQLi和PDO。两者都能完成数据库交互任务，但在设计理念和适用场景上各有侧重，理解它们的差异能帮助我们做出更合适的选择。

解决方案

要连接MySQL数据库，无论选择PDO还是MySQLi，核心思路都是先建立连接，然后执行查询，并处理结果或潜在的错误。

使用PDO连接MySQL

立即学习“PHP免费学习笔记（深入）”；

PDO（PHP Data Objects）提供了一个轻量级的、一致的接口来访问数据库。它的优势在于支持多种数据库系统，而不仅仅是MySQL。

<?php
$host = 'localhost';
$db   = 'your_database_name';
$user = 'your_username';
$pass = 'your_password';
$charset = 'utf8mb4';

$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
$options = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION, // 抛出异常
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,     // 默认以关联数组形式返回结果
    PDO::ATTR_EMULATE_PREPARES   => false,                // 禁用模拟预处理，使用原生预处理
];

try {
    $pdo = new PDO($dsn, $user, $pass, $options);
    echo "PDO连接成功！<br>";

    // 示例：插入数据
    $stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
    $stmt->execute(['张三', 'zhangsan@example.com']);
    echo "用户张三插入成功。<br>";

    // 示例：查询数据
    $stmt = $pdo->prepare("SELECT id, name, email FROM users WHERE id = ?");
    $stmt->execute([1]);
    $user = $stmt->fetch();
    if ($user) {
        echo "查询到用户: " . $user['name'] . " (" . $user['email'] . ")<br>";
    } else {
        echo "未找到用户。<br>";
    }

} catch (\PDOException $e) {
    // 捕获数据库连接或操作异常
    throw new \PDOException($e->getMessage(), (int)$e->getCode());
}
?>

使用MySQLi连接MySQL

MySQLi（MySQL Improved Extension）是专为MySQL数据库设计的，它提供了面向对象和面向过程两种API风格。在纯MySQL环境下，它的性能可能略优（尽管在大多数应用中差异微乎其微）。

<?php
$host = 'localhost';
$user = 'your_username';
$pass = 'your_password';
$db   = 'your_database_name';

// 面向对象风格连接
$mysqli = new mysqli($host, $user, $pass, $db);

// 检查连接
if ($mysqli->connect_error) {
    die("MySQLi连接失败: " . $mysqli->connect_error);
}
echo "MySQLi连接成功！<br>";

// 设置字符集
$mysqli->set_charset("utf8mb4");

// 示例：插入数据 (使用预处理语句，推荐！)
$stmt = $mysqli->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
if ($stmt === false) {
    die("预处理失败: " . $mysqli->error);
}
$name = '李四';
$email = 'lisi@example.com';
$stmt->bind_param("ss", $name, $email); // "ss" 表示两个字符串参数
$stmt->execute();
echo "用户李四插入成功。<br>";
$stmt->close();

// 示例：查询数据 (使用预处理语句)
$stmt = $mysqli->prepare("SELECT id, name, email FROM users WHERE id = ?");
if ($stmt === false) {
    die("预处理失败: " . $mysqli->error);
}
$id = 2;
$stmt->bind_param("i", $id); // "i" 表示整数参数
$stmt->execute();
$result = $stmt->get_result(); // 获取结果集
if ($result->num_rows > 0) {
    $user = $result->fetch_assoc();
    echo "查询到用户: " . $user['name'] . " (" . $user['email'] . ")<br>";
} else {
    echo "未找到用户。<br>";
}
$result->free();
$stmt->close();

$mysqli->close();
?>

无论哪种方式，关键都在于使用预处理语句（Prepared Statements）来执行查询，这能有效防止SQL注入攻击，提升安全性。

为什么推荐使用PDO或MySQLi，而不是老旧的mysql_*函数？

说实话，当年初学PHP，满眼都是mysql_query、mysql_connect这些函数，代码写起来是简单粗暴。但现在回过头看，那简直是给攻击者敞开大门。PHP官方从PHP 5.5开始废弃了这些mysql_*函数，并在PHP 7.0中彻底移除了它们，这背后的原因非常直接且重要：

• 安全性漏洞（SQL注入）：这是最致命的一点。mysql_*函数没有内置的预处理机制。这意味着开发者不得不手动对用户输入进行转义（如使用mysql_real_escape_string），而一旦忘记或处理不当，就极易遭受SQL注入攻击。攻击者可以通过在输入框中注入恶意SQL代码，窃取数据、篡改数据甚至删除整个数据库。PDO和MySQLi都提供了成熟的预处理语句功能，通过参数绑定，可以从根本上杜绝这类问题。
• 功能性不足：mysql_*函数缺乏对现代数据库特性（如事务处理、存储过程、多种字符集支持等）的良好支持。而PDO和MySQLi在这方面做得非常出色，提供了更丰富、更强大的API。
• 性能和效率：虽然在某些简单场景下可能感觉不明显，但新的扩展在底层优化上做得更好，能够更高效地与MySQL服务器通信。
• 维护和未来发展：既然官方已经废弃并移除了它们，继续使用就意味着你的代码将无法在更高版本的PHP上运行，也无法享受到后续的性能提升和安全更新。这是在自掘坟墓，对项目的长期维护来说是灾难性的。

所以，抛弃那些老旧的、不安全的函数，拥抱PDO或MySQLi，这不仅是技术潮流，更是对项目安全和未来负责的体现。

PDO与MySQLi在实际开发中如何选择？

这确实是个老生常谈的问题，但它背后反映的是不同的项目需求和开发哲学。在我看来，两者都有其存在的价值，选择哪个，更多取决于你的具体场景和个人偏好。

PDO（PHP Data Objects）

• 优势：
  • 数据库抽象层： 这是它最大的卖点。PDO提供了一个统一的API接口，可以连接多种数据库（MySQL、PostgreSQL、SQLite、SQL Server等）。这意味着如果你未来需要更换数据库类型，或者在一个项目中需要同时连接不同类型的数据库，PDO能让你用一套代码逻辑来处理，极大地降低了迁移成本和学习曲线。
  • 更灵活的错误处理： PDO允许你通过设置PDO::ATTR_ERRMODE来控制错误报告模式，比如抛出异常（PDO::ERRMODE_EXCEPTION），这与现代PHP的异常处理机制完美结合，使得错误捕获和调试更为方便和结构化。
  • 一致的API： 无论连接哪种数据库，PDO的prepare(), execute(), fetch()等方法都是一致的，这对于开发多数据库兼容的应用非常有利。
• 劣势：
  • 学习曲线： 对于初学者来说，PDO的概念可能比MySQLi稍抽象一些，特别是对于DSN（Data Source Name）的配置。
  • 性能（微乎其微）： 在纯MySQL环境下，理论上PDO由于其抽象层可能带来微小的性能开销，但这种差异在绝大多数应用中几乎可以忽略不计，绝不会成为性能瓶颈。
• 适用场景：
  • 开发框架或库，需要支持多种数据库。
  • 项目未来可能需要从MySQL迁移到其他数据库。
  • 追求更现代化、更面向对象的开发模式。
  • 希望错误处理更加统一和健壮。

MySQLi（MySQL Improved Extension）

Calliper 文档对比神器

文档内容对比神器

28

查看详情

• 优势：
  • 专为MySQL优化： 作为MySQL的专属扩展，它在某些特定功能上可能提供更直接、更细致的支持。在纯MySQL环境下，它的性能理论上可能略胜一筹（但如前所述，通常不构成实际瓶颈）。
  • 两种API风格： 它提供了面向对象和面向过程两种API，这对于从老旧mysql_*函数迁移过来的开发者来说，可能更容易上手面向过程的风格。
  • 对MySQL特定功能支持直接： 例如，mysqli_multi_query等，虽然PDO也能实现类似功能，但MySQLi的命名和用法可能更直观。
• 劣势：
  • 仅限于MySQL： 这是它最大的局限性。如果项目未来需要连接PostgreSQL或SQLite，MySQLi就无能为力了，你必须学习并使用新的扩展。
  • API风格不够统一： 虽然提供了两种风格，但有时候在处理结果集等方面，其API可能不如PDO那样始终如一地“优雅”。
• 适用场景：
  • 项目明确只使用MySQL，且未来不太可能更换数据库。
  • 团队成员对MySQLi的API更熟悉，或习惯其面向过程的风格。
  • 对MySQL的特定功能有较强的依赖，且希望直接调用。

我的个人看法：

我个人更偏爱PDO。尤其是在处理多数据库兼容性或追求更现代化的开发模式时，PDO带来的代码统一性和灵活性是无与伦比的。它的异常处理机制也让代码更健壮，更易于调试。不过，如果项目就“死磕”MySQL，而且团队对MySQLi的API特别熟悉，那么MySQLi也完全够用，甚至在某些方面感觉更“亲近”MySQL。最终的选择，很多时候是团队的技术栈、项目规模和未来规划共同决定的。

使用预处理语句的最佳实践是什么？

预处理语句（Prepared Statements）是数据库交互中的一项核心技术，其重要性怎么强调都不为过。它不仅是防止SQL注入攻击的基石，也能在重复执行相同查询时提升性能。

核心原理：

预处理语句将SQL查询的结构（模板）与数据分离开来。你先将带有占位符（如?或命名占位符:name）的SQL语句发送到数据库服务器进行“预编译”，数据库会解析、优化并缓存这个语句。然后，你再将实际的数据作为参数绑定到这些占位符上，发送给数据库执行。由于数据是作为独立的参数传输的，数据库会严格区分SQL代码和数据，从而避免了恶意数据被解释为SQL代码。

如何使用（以PDO和MySQLi为例）：

1. PDO中的预处理语句：

// 插入数据示例
$name = '王五';
$email = 'wangwu@example.com';
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)"); // 使用问号占位符
$stmt->execute([$name, $email]); // 直接传入数组执行，PDO会自动绑定类型
echo "王五插入成功。<br>";

// 查询数据示例
$userId = 3;
$stmt = $pdo->prepare("SELECT name, email FROM users WHERE id = :id"); // 使用命名占位符
$stmt->bindParam(':id', $userId, PDO::PARAM_INT); // 明确绑定参数类型，更严谨
// 或者 $stmt->execute([':id' => $userId]); // 使用数组绑定命名占位符
$stmt->execute();
$user = $stmt->fetch();
if ($user) {
    echo "查询到用户: " . $user['name'] . " (" . $user['email'] . ")<br>";
}

PDO的execute()方法可以直接接收一个数组来绑定所有占位符，非常方便。bindParam()则允许你更细致地控制数据类型。

2. MySQLi中的预处理语句：

// 插入数据示例
$name = '赵六';
$email = 'zhaoliu@example.com';
$stmt = $mysqli->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->bind_param("ss", $name, $email); // "ss"表示两个字符串类型参数
$stmt->execute();
echo "赵六插入成功。<br>";
$stmt->close();

// 查询数据示例
$userEmail = 'zhangsan@example.com';
$stmt = $mysqli->prepare("SELECT id, name FROM users WHERE email = ?");
$stmt->bind_param("s", $userEmail); // "s"表示一个字符串类型参数
$stmt->execute();
$result = $stmt->get_result(); // 获取结果集
if ($result->num_rows > 0) {
    $user = $result->fetch_assoc();
    echo "查询到用户: " . $user['name'] . " (ID: " . $user['id'] . ")<br>";
}
$result->free();
$stmt->close();

MySQLi的bind_param()方法需要你显式地指定每个参数的类型（i for integer, d for double, s for string, b for blob），这在某些情况下可能显得略微繁琐，但也提供了更强的类型控制。

最佳实践要点：

• 永远使用预处理语句： 任何时候，只要SQL语句中包含来自用户或其他不可信源的数据，都必须使用预处理语句进行参数绑定。这包括SELECT的WHERE条件、INSERT的值、UPDATE的SET值和WHERE条件，甚至DELETE的WHERE条件。
• 不要将用户输入直接拼接进SQL字符串： 这是SQL注入的根源。即使你认为数据是“干净”的，也应该坚持使用参数绑定。
• 注意LIMIT、ORDER BY等子句： 预处理语句的参数绑定通常不支持列名、表名或SQL关键字（如ASC/DESC）的绑定。对于这类动态部分，你需要采取其他策略，比如：
  • 白名单验证： 预定义一个允许的列名或排序方向列表，然后根据用户输入从白名单中选择，而不是直接使用用户输入。
  • 硬编码： 如果这些部分是固定的，直接写在SQL中。
• 错误处理不可忽视： 始终检查prepare()和execute()的返回值，或者像PDO那样设置PDO::ERRMODE_EXCEPTION，以便及时捕获并处理数据库操作中可能出现的错误。
• 资源释放： 使用完预处理语句和结果集后，及时关闭它们（如MySQLi的$stmt->close()和$result->free()），释放数据库资源。PDO通常在语句对象销毁时自动释放，但显式地将$stmt设置为null也是个好习惯。
• 事务处理（Transactions）： 对于需要执行一系列相互依赖的数据库操作（例如，转账操作，需要从一个账户扣款，同时向另一个账户加款），务必使用事务来确保数据的一致性。
  • PDO: beginTransaction(), commit(), rollBack().
  • MySQLi: autocommit(false), commit(), rollback().

遵循这些实践，你的PHP应用与MySQL的交互将更加安全、健壮和高效。

以上就是PHP怎样连接MySQL？PDO与MySQLi对比的详细内容，更多请关注php中文网其它相关文章！