PHP连接MySQL推荐使用mysqli或PDO扩展,二者均支持预处理语句以防止SQL注入,其中PDO具备更好的数据库可移植性,mysqli则对MySQL功能支持更深入;建立连接时需确保用户名、密码、主机及权限正确,避免“Access denied”错误;为提升性能,可采用持久连接、索引优化、查询缓存及避免循环中频繁查询等策略。
PHP连接MySQL数据库,简单来说,就是让你的PHP代码能够跟MySQL数据库“对话”,进行数据的读取、写入等操作。核心在于建立连接、执行SQL语句、处理结果和关闭连接。下面介绍几种常见的连接方式。
解决方案
PHP连接MySQL主要有三种方式:
mysql扩展(已弃用)、
mysqli扩展和
PDO。 推荐使用
mysqli或
PDO,因为
mysql扩展已从PHP 7中移除,不再维护,存在安全风险。
-
mysqli 扩展 (推荐)
立即学习“PHP免费学习笔记(深入)”;
mysqli
是 "MySQL Improved" 的缩写,提供了面向对象和面向过程两种风格的接口。-
面向对象风格:
connect_error) { die("连接失败: " . $conn->connect_error); } echo "连接成功"; // 执行SQL查询 $sql = "SELECT id, firstname, lastname FROM MyGuests"; $result = $conn->query($sql); if ($result->num_rows > 0) { // 输出每行数据 while($row = $result->fetch_assoc()) { echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "
"; } } else { echo "0 结果"; } // 关闭连接 $conn->close(); ?> -
面向过程风格:
0) { // 输出每行数据 while($row = mysqli_fetch_assoc($result)) { echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "
"; } } else { echo "0 结果"; } // 关闭连接 mysqli_close($conn); ?>
-
-
PDO (PHP Data Objects) 扩展 (推荐)
PDO 是一个轻量级的、一致性的访问数据库的接口,支持多种数据库,包括 MySQL。 PDO的优势在于其抽象层,能够更容易地切换数据库系统,提升代码的可移植性。
setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); echo "连接成功"; // 执行SQL查询 $sql = "SELECT id, firstname, lastname FROM MyGuests"; $stmt = $conn->prepare($sql); $stmt->execute(); // 设置结果为关联数组 $result = $stmt->setFetchMode(PDO::FETCH_ASSOC); foreach(new TableRows(new RecursiveArrayIterator($stmt->fetchAll())) as $k=>$v) { echo $v; } } catch(PDOException $e) { echo "连接失败: " . $e->getMessage(); } $conn = null; ?> " . parent::current(). ""; } function beginChildren() { echo ""; } function endChildren() { echo " " . "\n"; } } ?>
如何选择 mysqli 和 PDO?
这两种方式都比
mysql扩展更安全、更高效。
mysqli更贴近 MySQL,性能可能略好,但可移植性稍差。
PDO的优势在于其通用性,如果你的项目未来可能需要切换到其他数据库,
PDO是更好的选择。
连接MySQL时遇到“Access denied”错误怎么办?
“Access denied”错误通常意味着你的用户名、密码或主机信息不正确,或者该用户没有访问指定数据库的权限。检查以下几点:
用户名和密码: 确保你在PHP代码中使用的用户名和密码与MySQL数据库中的用户凭据完全一致。大小写也敏感!
主机信息:
$servername
变量应该设置为MySQL服务器的主机名或IP地址。如果是本地服务器,通常是 "localhost" 或 "127.0.0.1"。-
用户权限: 检查MySQL中该用户是否具有访问指定数据库的权限。可以使用MySQL客户端(如MySQL Workbench)登录MySQL服务器,然后执行以下SQL语句:
SHOW GRANTS FOR 'your_username'@'your_host';
将
'your_username'
替换为你的用户名,'your_host'
替换为你的主机名(通常是 'localhost' 或 '%' 表示允许所有主机)。 确保该用户拥有SELECT
,INSERT
,UPDATE
,DELETE
等必要的权限。 如果没有权限,可以使用GRANT
语句授予权限。例如:GRANT SELECT, INSERT, UPDATE, DELETE ON your_database.* TO 'your_username'@'your_host'; FLUSH PRIVILEGES;
将
your_database
替换为你的数据库名。 防火墙: 确保防火墙没有阻止PHP服务器与MySQL服务器之间的连接。MySQL默认端口是3306。
如何防止SQL注入攻击?
SQL注入是一种常见的安全漏洞,攻击者可以通过在SQL查询中插入恶意代码来获取、修改或删除数据库中的数据。 防止SQL注入的关键是不要直接将用户输入的数据拼接到SQL查询语句中。
Difeye是一款超轻量级PHP框架,主要特点有: Difeye是一款超轻量级PHP框架,主要特点有: ◆数据库连接做自动主从读写分离配置,适合单机和分布式站点部署; ◆支持Smarty模板机制,可灵活配置第三方缓存组件; ◆完全分离页面和动作,仿C#页面加载自动执行Page_Load入口函数; ◆支持mysql,mongodb等第三方数据库模块,支持读写分离,分布式部署; ◆增加后台管理开发示例
-
使用预处理语句(Prepared Statements)或参数化查询:
mysqli
和PDO
都支持预处理语句。预处理语句将SQL查询语句和数据分开处理,可以有效地防止SQL注入。-
mysqli 示例:
connect_error) { die("连接失败: " . $conn->connect_error); } // 准备SQL语句 $sql = "SELECT id, firstname, lastname FROM MyGuests WHERE firstname = ?"; $stmt = $conn->prepare($sql); // 绑定参数 $firstname = $_POST['firstname']; // 获取用户输入 $stmt->bind_param("s", $firstname); // "s" 表示字符串类型 // 执行查询 $stmt->execute(); // 获取结果 $result = $stmt->get_result(); if ($result->num_rows > 0) { while($row = $result->fetch_assoc()) { echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "
"; } } else { echo "0 结果"; } $stmt->close(); $conn->close(); ?> -
PDO 示例:
setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $sql = "SELECT id, firstname, lastname FROM MyGuests WHERE firstname = :firstname"; $stmt = $conn->prepare($sql); $firstname = $_POST['firstname']; // 获取用户输入 $stmt->bindParam(':firstname', $firstname); $stmt->execute(); $result = $stmt->fetchAll(PDO::FETCH_ASSOC); foreach ($result as $row) { echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "
"; } } catch(PDOException $e) { echo "Error: " . $e->getMessage(); } $conn = null; ?>
-
-
使用合适的转义函数: 虽然预处理语句是最佳选择,但在某些特殊情况下,可能需要手动转义用户输入的数据。
mysqli
提供了mysqli_real_escape_string()
函数,用于转义字符串中的特殊字符,以防止SQL注入。 注意:mysqli_real_escape_string()
函数需要一个有效的数据库连接才能工作。connect_error) { die("连接失败: " . $conn->connect_error); } $firstname = mysqli_real_escape_string($conn, $_POST['firstname']); // 转义用户输入 $sql = "SELECT id, firstname, lastname FROM MyGuests WHERE firstname = '" . $firstname . "'"; $result = $conn->query($sql); // ... (后续代码) $conn->close(); ?>
重要提示: 不要依赖于简单的字符串替换或过滤来防止SQL注入。 预处理语句和参数化查询是更安全可靠的方法。
如何优化PHP连接MySQL的性能?
优化PHP连接MySQL的性能可以从多个方面入手:
-
使用持久连接: 持久连接允许PHP重用现有的数据库连接,而不是每次都建立新的连接。这可以减少连接开销,提高性能。
mysqli
和PDO
都支持持久连接。-
mysqli 示例: 在
mysqli_connect()
函数中使用p:
前缀指定持久连接。$conn = mysqli_connect("p:localhost", "username", "password", "database_name"); -
PDO 示例: 在DSN字符串中使用
persistent=true
选项。$conn = new PDO("mysql:host=$servername;dbname=$database;persistent=true", $username, $password);
注意: 持久连接可能会占用更多的服务器资源,因此需要根据实际情况进行权衡。 在共享主机环境中,通常不建议使用持久连接。
-
使用索引: 在经常用于查询的列上创建索引可以显著提高查询速度。 使用
EXPLAIN
语句可以分析SQL查询的执行计划,并确定是否需要添加索引。优化SQL查询: 编写高效的SQL查询语句是提高性能的关键。 避免使用
SELECT *
,只选择需要的列。 使用WHERE
子句限制返回的行数。 避免在WHERE
子句中使用函数或表达式。使用缓存: 将查询结果缓存起来,可以避免重复执行相同的查询。 可以使用PHP的缓存扩展(如Memcached或Redis)或MySQL的查询缓存。
关闭不必要的连接: 在完成数据库操作后,及时关闭连接,释放资源。
避免在循环中执行数据库查询: 尽量将多个查询合并为一个查询,或者使用批量插入/更新操作。
使用连接池: 连接池可以预先创建并维护一组数据库连接,应用程序可以从连接池中获取连接,使用完毕后归还给连接池,避免了频繁创建和销毁连接的开销。虽然PHP本身没有内置连接池,但可以通过扩展或者使用第三方库来实现。
