使用预处理语句可安全高效更新MySQL数据。推荐PDO或MySQLi扩展,通过参数绑定防止SQL注入,示例显示PDO和MySQLi的正确用法,避免拼接SQL,结合输入验证与权限控制,确保更新操作安全稳定。
在PHP中更新MySQL数据,关键在于安全、高效、防止SQL注入。推荐使用预处理语句(Prepared Statements)配合MySQLi或PDO扩展,而不是拼接原始SQL。
使用PDO进行安全更新
PDO支持多种数据库,语法清晰,是现代PHP开发的首选方式。示例代码:
try {
$pdo = new PDO("mysql:host=localhost;dbname=testdb", "username", "password");
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$sql = "UPDATE users SET name = ?, email = ? WHERE id = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute(['张三', 'zhangsan@example.com', 1]);
echo "数据更新成功";
} catch (PDOException $e) {
echo "更新失败: " . $e->getMessage();
}
使用MySQLi预处理语句
MySQLi是专为MySQL设计的扩展,也支持面向对象和过程化写法。示例代码(面向对象):
MVM mall 网上购物系统
下载
采用 php+mysql 数据库方式运行的强大网上商店系统,执行效率高速度快,支持多语言,模板和代码分离,轻松创建属于自己的个性化用户界面 v3.5更新: 1).进一步静态化了活动商品. 2).提供了一些重要UFT-8转换文件 3).修复了除了网银在线支付其它支付显示错误的问题. 4).修改了LOGO广告管理,增加LOGO链接后主页LOGO路径错误的问题 5).修改了公告无法发布的问题,可能是打压
$mysqli = new mysqli("localhost", "username", "password", "testdb");
if ($mysqli->connect_error) {
die("连接失败: " . $mysqli->connect_error);
}
$sql = "UPDATE users SET name = ?, email = ? WHERE id = ?";
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("ssi", $name, $email, $id);
$name = '李四';
$email = 'lisi@example.com';
$id = 2;
$stmt->execute();
if ($stmt->affected_rows > 0) {
echo "记录已更新";
} else {
echo "未更新任何记录";
}
$stmt->close();
$mysqli->close();
避免直接拼接SQL(危险做法)
以下方式容易导致SQL注入,不推荐使用:// ❌ 危险!不要这样做 $id = $_POST['id']; $name = $_POST['name']; $sql = "UPDATE users SET name = '$name' WHERE id = $id"; $mysqli->query($sql); // 可能被注入攻击
用户输入未经过滤时,攻击者可通过构造输入删除或篡改整个表。
立即学习“PHP免费学习笔记(深入)”;
最佳实践建议
- 始终使用预处理语句绑定参数
- 对用户输入进行验证和过滤(如filter_var)
- 限制数据库账户权限,避免使用root操作
- 检查affected_rows判断是否真正更新了数据
- 开启错误日志但不在生产环境暴露详细错误
