使用预处理语句可安全插入数据并防止SQL注入。1. 建立连接时应使用配置文件管理数据库信息;2. 通过mysqli::prepare()创建预处理语句;3. 使用bind_param()绑定参数类型与变量;4. 执行execute()完成插入;5. 及时关闭语句和连接以释放资源。错误处理应结合error_log()记录日志,并向用户显示友好提示,避免暴露敏感信息。PDO和mysqli均支持预处理,但PDO更具跨数据库兼容性。
直接操作数据库,PHP提供了多种选择,从原生的
mysqli
PDO
PHP操作数据库,核心在于建立连接、执行SQL语句以及处理结果。这里以
mysqli
首先,建立连接:
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$database = "database_name";
// 创建连接
$conn = new mysqli($servername, $username, $password, $database);
// 检测连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
echo "连接成功";
?>这段代码是最基础的连接数据库的代码。需要注意的是,实际项目中,数据库配置信息不应该硬编码在代码里,而是应该放在配置文件中,方便管理和维护。 另外,错误处理也很重要,除了
die()
try...catch
立即学习“PHP免费学习笔记(深入)”;
接下来,执行SQL语句:
<?php
$sql = "SELECT id, firstname, lastname FROM users";
$result = $conn->query($sql);
if ($result->num_rows > 0) {
// 输出数据
while($row = $result->fetch_assoc()) {
echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>";
}
} else {
echo "0 结果";
}
?>这里执行了一个简单的
SELECT
$conn->query()
fetch_assoc()
关于SQL注入,这是个老生常谈的问题,但仍然有很多开发者掉以轻心。永远不要直接将用户输入拼接到SQL语句中,应该使用预处理语句(Prepared Statements)来防止SQL注入。
mysqli
PDO
最后,关闭连接:
<?php $conn->close(); ?>
这是一个好习惯,可以释放资源。
插入数据,使用预处理语句是关键。
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$database = "database_name";
// 创建连接
$conn = new mysqli($servername, $username, $password, $database);
// 检测连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
// 准备SQL语句
$stmt = $conn->prepare("INSERT INTO users (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// 设置参数并执行
$firstname = "John";
$lastname = "Doe";
$email = "john.doe@example.com";
$stmt->execute();
echo "新记录插入成功";
$stmt->close();
$conn->close();
?>bind_param()
s
i
d
b
PHP中操作数据库的函数非常多,这里列举一些常用的:
mysqli_connect()
PDO::__construct()
mysqli_query()
PDO::query()
mysqli_fetch_assoc()
PDO::fetch()
mysqli_fetch_array()
PDO::fetchAll()
mysqli_prepare()
PDO::prepare()
mysqli_stmt_bind_param()
PDOStatement::bindParam()
mysqli_stmt_execute()
PDOStatement::execute()
mysqli_real_escape_string()
mysqli_close()
$pdo = null;
选择
mysqli
PDO
mysqli
PDO
错误处理,是保证程序健壮性的重要一环。
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$database = "database_name";
// 创建连接
$conn = new mysqli($servername, $username, $password, $database);
// 检测连接
if ($conn->connect_error) {
$error_message = "连接失败: " . $conn->connect_error;
error_log($error_message, 0); // 记录到PHP的默认错误日志
die("数据库连接失败,请稍后重试"); // 友好的提示
}
// 执行SQL语句
$sql = "SELECT id, firstname, lastname FROM users";
$result = $conn->query($sql);
if (!$result) {
$error_message = "SQL执行失败: " . $conn->error;
error_log($error_message, 0);
die("数据查询失败,请稍后重试");
}
// 关闭连接
$conn->close();
?>这里使用了
error_log()
0
在生产环境中,应该配置PHP的错误日志,方便排查问题。 另外,错误提示信息不应该直接显示给用户,而是应该显示友好的提示信息,避免泄露敏感信息。
以上就是PHP函数如何使用数据库相关函数操作数据 PHP函数数据库函数的使用教程的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
149
