PHP删除数据库记录有五种方法:一、PDO预处理防止SQL注入;二、MySQLi面向对象预处理;三、MySQLi过程式转义字符串;四、封装函数强制WHERE条件防误删;五、软删除用status字段替代物理删除。
如果您需要从数据库中移除特定记录,PHP 通常通过执行 SQL 的 DELETE 语句来实现。以下是几种安全、常用且可操作的删除数据方法:
一、使用 PDO 执行预处理 DELETE 语句
PDO 提供了预处理机制,能有效防止 SQL 注入,适用于所有支持 PDO 的数据库驱动。该方法将 SQL 语句与参数分离,确保用户输入不会干扰语句结构。
1、创建 PDO 连接对象,并设置错误模式为异常抛出。
2、编写带命名占位符的 DELETE 语句,例如:DELETE FROM users WHERE id = :id。
立即学习“PHP免费学习笔记(深入)”;
3、调用 prepare() 方法准备语句,再使用 execute() 传入关联数组绑定参数。
4、检查 rowCount() 返回值,确认是否成功影响了数据行。
二、使用 MySQLi 面向对象方式执行删除
MySQLi 支持面向对象和过程两种风格,面向对象方式更清晰易维护。它同样支持预处理,可避免拼接字符串带来的注入风险。
1、使用 new mysqli() 建立连接,并检查 connect_error 是否为空。
2、调用 prepare() 方法传入 DELETE 语句,如:DELETE FROM products WHERE sku = ?。
3、使用 bind_param() 绑定参数类型和变量,例如:'s' 表示字符串类型。
4、执行 execute(),再通过 affected_rows 获取实际删除行数。
三、使用 MySQLi 过程式方式配合 mysqli_real_escape_string 过滤
当无法使用预处理时,必须对用户输入进行转义处理,以降低 SQL 注入可能性。此方法仅建议用于遗留代码或简单场景,不推荐新项目采用。
1、使用 mysqli_connect() 建立连接,并确认连接成功。
2、对需删除条件中的字符串字段调用 mysqli_real_escape_string() 进行转义。
3、拼接 DELETE 语句,例如:DELETE FROM comments WHERE content = '$escaped_content'。
4、调用 mysqli_query() 执行语句,并用 mysqli_affected_rows() 判断结果。
四、基于 WHERE 条件的批量删除控制
误删全表数据是高危操作,因此必须强制要求 DELETE 语句包含明确的 WHERE 条件。可通过封装函数拦截无条件 DELETE,提升安全性。
1、定义一个 deleteRecord() 函数,接收表名、条件字段与值作为参数。
2、在函数内部校验 $where 参数是否为空,若为空则 直接返回 false 并拒绝执行。
3、构建形如 "DELETE FROM {$table} WHERE {$field} = ?" 的语句并预处理。
4、执行后返回受影响行数,0 表示未匹配到任何记录,非 0 表示删除成功。
五、软删除替代物理删除的实现方式
某些业务场景下,数据不可真正删除,需保留历史痕迹。此时可改用更新状态字段的方式模拟删除效果,避免丢失关联信息。
1、在目标数据表中添加 status 字段(如 TINYINT(1),默认值为 1)。
2、将原 DELETE 逻辑替换为 UPDATE 语句:UPDATE orders SET status = 0 WHERE order_id = ?。
3、后续查询时,在 WHERE 子句中增加 AND status = 1,确保只读取未被“删除”的记录。
4、在列表展示或 API 返回前,统一过滤 status = 0 的数据行。
