如何在 PHP 中安全高效地批量删除 MySQL 数据库中的多行记录（无框架）

本文介绍如何使用 php 原生 pdo 预处理语句，结合 `where in` 语法，安全、高效地批量删除 mysql 中的多条记录，避免 n+1 查询与 sql 注入风险。

在实际开发中，前端（如 React）常通过表单提交多个主键（例如 SKU）进行批量操作。若沿用单条 DELETE ... WHERE product_sku = ? 循环执行，不仅性能低下（每次请求触发一次数据库往返），还易因事务缺失或异常中断导致部分删除成功、部分失败，破坏数据一致性。

正确的做法是：将多个 SKU 合并为一个 WHERE IN (...) 条件，并配合动态占位符实现安全预处理。由于 PDO 不支持直接绑定数组到 IN 子句，需手动构建对应数量的参数占位符（如 :sku1, :sku2, :sku3），再逐一绑定。

以下是优化后的完整实现：

// ✅ 安全高效的批量删除方法（支持任意数量 SKU）
public function deleteProducts(array $skus): bool
{
    if (empty($skus)) {
        return false;
    }

    // 去重并过滤空值，确保数据洁净
    $skus = array_filter(array_map('trim', $skus));
    if (empty($skus)) {
        return false;
    }

    // 动态生成占位符，如 :sku0, :sku1, :sku2...
    $placeholders = str_repeat('?,', count($skus) - 1) . '?';
    $sql = "DELETE FROM products WHERE product_sku IN ($placeholders)";

    try {
        $stmt = $this->db->prepare($sql);
        // 使用 array_values() 重置键名，确保按顺序绑定
        $stmt->execute(array_values($skus));
        return $stmt->rowCount() > 0;
    } catch (\PDOException $e) {
        error_log("Batch delete failed: " . $e->getMessage());
        throw new \RuntimeException("Database error during batch deletion", 500);
    }
}

在 API 入口处接收并调用该方法：

LALALAND

AI驱动的时尚服装设计平台

下载

立即学习“PHP免费学习笔记（深入）”；

$response = [];

// 支持两种常见提交格式：
// 1. 多个同名字段（ ×2）→ $_POST['sku'] 为数组
// 2. JSON 格式（React 推荐）→ 需先 json_decode(file_get_contents('php://input'))
$rawSkus = $_POST['sku'] ?? null;

if (is_string($rawSkus)) {
    // 若为 JSON 字符串（如前端 fetch({body: JSON.stringify({sku: [...]})})）
    $skus = json_decode($rawSkus, true)['sku'] ?? [];
} else {
    $skus = is_array($rawSkus) ? $rawSkus : [];
}

if (empty($skus)) {
    http_response_code(499);
    echo json_encode(['error' => 'Required parameter "sku" missing or empty']);
    exit;
}

try {
    $result = $api->deleteProducts($skus);
    if ($result) {
        http_response_code(200);
        echo json_encode(['success' => true, 'deleted_count' => count($skus)]);
    } else {
        http_response_code(404);
        echo json_encode(['error' => 'No matching products found for deletion']);
    }
} catch (\RuntimeException $e) {
    http_response_code(500);
    echo json_encode(['error' => $e->getMessage()]);
}

⚠️ 关键注意事项：

• 绝不拼接 SQL 字符串：避免 IN ('" . implode("','", $skus) . "') —— 此方式极易引发 SQL 注入；
• 限制最大批量数：MySQL 默认 max_allowed_packet 和 IN 子句长度有限制，建议单次不超过 1000 个 SKU，超量时应分批处理；
• 事务增强可靠性（可选）：对强一致性要求场景，可在 prepare() 前开启事务，execute() 后根据结果 commit() 或 rollback()；
• 前端配合：React 提交时推荐使用 application/json Content-Type 并 JSON.stringify({sku: ['DVD0004','DVD0005']})，语义更清晰且规避 HTML 表单多值解析歧义。

通过上述方案，你既能显著提升删除性能（单次查询替代多次查询），又能完全继承预处理语句的安全保障，是无框架 PHP 开发中批量操作的推荐实践。