使用预处理语句可安全高效更新MySQL数据。推荐PDO或MySQLi扩展,通过参数绑定防止SQL注入,示例显示PDO和MySQLi的正确用法,避免拼接SQL,结合输入验证与权限控制,确保更新操作安全稳定。
在PHP中更新MySQL数据,关键在于安全、高效、防止SQL注入。推荐使用预处理语句(Prepared Statements)配合MySQLi或PDO扩展,而不是拼接原始SQL。
示例代码:
try {
$pdo = new PDO("mysql:host=localhost;dbname=testdb", "username", "password");
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$sql = "UPDATE users SET name = ?, email = ? WHERE id = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute(['张三', 'zhangsan@example.com', 1]);
echo "数据更新成功";
} catch (PDOException $e) {
echo "更新失败: " . $e->getMessage();
}
示例代码(面向对象):
$mysqli = new mysqli("localhost", "username", "password", "testdb");
if ($mysqli->connect_error) {
die("连接失败: " . $mysqli->connect_error);
}
$sql = "UPDATE users SET name = ?, email = ? WHERE id = ?";
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("ssi", $name, $email, $id);
$name = '李四';
$email = 'lisi@example.com';
$id = 2;
$stmt->execute();
if ($stmt->affected_rows > 0) {
echo "记录已更新";
} else {
echo "未更新任何记录";
}
$stmt->close();
$mysqli->close();
// ❌ 危险!不要这样做 $id = $_POST['id']; $name = $_POST['name']; $sql = "UPDATE users SET name = '$name' WHERE id = $id"; $mysqli->query($sql); // 可能被注入攻击
用户输入未经过滤时,攻击者可通过构造输入删除或篡改整个表。
立即学习“PHP免费学习笔记(深入)”;
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
835
