本文详解如何在从外部 sql 文件读取查询语句时,安全、灵活地实现类似 `{$arg[1]}` 的 php 变量插值,弥补 `pg_query()` 不支持原生字符串插值的限制,并提供可扩展、易维护的正则回调方案。
在 PHP 中,pg_query() 和 pg_query_params() 等 PostgreSQL 函数不会对 SQL 字符串执行 PHP 变量解析——即使你写 SELECT ... WHERE id='{$user_id}',花括号语法也仅在双引号字符串中由 PHP 解析器处理;而从外部文件读取的字符串是纯文本,PHP 不会二次解析其中的 {$var} 或 ${array[0]}。因此,直接将含 {$arg[1]} 的 SQL 行传给 pg_query(),该占位符将被当作字面量字符串传递给数据库,导致查询逻辑错误(如匹配字面值 '{$arg[1]}' 而非实际值 'VALUE-B')。
要实现预期行为,需在执行前手动完成变量插值。以下是一个健壮、生产就绪的解决方案,基于 preg_replace_callback() 提取并安全替换所有 {$var} 和 {$arr[key]} 形式:
// 示例上下文变量(应根据实际业务初始化)
$bar = 'VALUE-A';
$arg = ['unused', 'VALUE-B']; // $arg[1] 即所需值
// 插值回调函数:支持 $var 和 $arr[key] 两种格式
function interpolate($matches) {
static $scope = null;
if ($scope === null) {
$scope = $GLOBALS; // 避免每次调用都重新复制全局变量
}
$varName = $matches[1];
$key = $matches[2] ?? null;
// 检查变量是否存在
if (!isset($scope[$varName])) {
return 'UNDEF';
}
$value = $scope[$varName];
// 若指定了数组下标(如 $arg[1]),尝试取值
if ($key !== '' && is_array($value)) {
return $value[$key] ?? 'UNDEF';
}
// 普通变量或非数组变量直接返回
return $value;
}
// 读取并插值 SQL 文件
$fh = fopen('/home/www/KPI-Summary.sql', 'r')
or die("无法打开 SQL 文件: " . error_get_last()['message']);
$dbh = pg_connect($connect)
or die('数据库连接失败: ' . pg_last_error());
$j = 0;
while (($line = fgets($fh)) !== false) {
// 关键步骤:执行插值(支持 {$bar} 和 {$arg[1]})
$line = preg_replace_callback(
'/\{\$([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*)\[(\d+|\'[^\']*\')\]\}/u',
'interpolate',
$line
);
// 更简洁兼容版(推荐初用):仅支持数字索引数组如 $arg[1]
// $line = preg_replace_callback('/\{\$([a-z_][a-z0-9_]*)\[(\d*)\]\}/i', 'interpolate', $line);
$result = pg_query($dbh, $line);
if (!$result) {
trigger_error("SQL 执行失败: " . pg_last_error($dbh), E_USER_WARNING);
continue;
}
$tmp[$j][2] = [];
while ($row = pg_fetch_row($result)) {
$tmp[$j][2][] = $row;
}
$j++;
}
fclose($fh);✅ 关键改进说明:
- 正则表达式 /\\{\\$([a-zA-Z_\\x7f-\\xff][a-zA-Z0-9_\\x7f-\\xff]*)\\[(\\d+|'[^']*')\\]\\}/u 支持 Unicode 变量名和带引号的字符串键(如 $config['host']),更贴近真实 PHP 语法;若仅需数字索引,可用简版 /\\{\\$([a-z_][a-z0-9_]*)\\[(\\d*)\\]\\}/i。
- 使用 static $scope = null 缓存 $GLOBALS,避免每次回调重复拷贝,提升性能。
- 显式检查 is_array($value) 并用空合并操作符 ?? 处理缺失键,防止 Notice 错误。
-
⚠️ 安全警告: 此方法属于字符串插值(string interpolation),不等同于参数化查询!若变量来自用户输入(如 $_GET),必须先严格过滤/转义(如 pg_escape_literal()),否则将导致严重 SQL 注入漏洞。强烈建议:
- 优先改用 pg_query_params() + 占位符(如 WHERE msgid = $1);
- 若必须插值,请确保所有插值变量为可信内部数据,并对不可信值做 pg_escape_literal($value) 包裹。
? 总结: PHP 不会自动解析外部文件中的 {$var},需主动插值;正则回调是轻量可行方案,但务必权衡安全性与可维护性——对于新项目,推荐重构 SQL 文件为参数化模板(如 SELECT ... WHERE id = $1),再统一通过 pg_query_params() 绑定,这才是 PostgreSQL 最佳实践。
立即学习“PHP免费学习笔记(深入)”;
