本文介绍如何使用 pdo 预处理语句安全、高效地执行类似 `update ... set col = case when ... then ... end` 的批量行更新,避免 sql 注入,同时保持单条 sql 的执行性能,而非循环多次执行。
在 MySQL 中,通过 CASE WHEN ... THEN ... END 实现单条 UPDATE 语句批量修改多行(如交换 ID、映射旧值到新值),是性能最优的方案。但直接拼接数值进 SQL 存在注入风险;而 naïve 地用 bindParam() 循环执行多条相似语句(如每对 :old/:new 单独执行一次),则失去批量优势,且因重复解析/执行导致显著性能下降。
✅ 正确解法:动态构建参数化 SQL,保持「一条语句、多个命名参数」
PDO 支持为同一预处理语句绑定多个同名占位符(需启用 PDO::ATTR_EMULATE_PREPARES = true),但更可靠、更清晰的方式是为每组条件生成唯一命名参数,并动态构造 SQL:
// 原始映射关系:[旧值 => 新值]
$mappings = [
45 => 56,
64 => 78,
91 => 102
];
// 动态构建 CASE 表达式与参数数组
$caseParts = [];
$params = [];
foreach ($mappings as $old => $new) {
$oldParam = ':old_' . count($params);
$newParam = ':new_' . count($params);
$caseParts[] = "WHEN {$oldParam} THEN {$newParam}";
$params[$oldParam] = $old;
$params[$newParam] = $new;
}
$inValues = str_repeat('?,', count($mappings) - 1) . '?';
$placeholders = implode(',', array_keys($params));
$sql = "UPDATE color
SET color_id = CASE color_id " . implode(' ', $caseParts) . " END
WHERE color_id IN ({$inValues})";
$stmt = $conn->prepare($sql);
$stmt->execute(array_values($mappings)); // 注意:此处传入的是纯值数组(顺序必须与 IN 中 ? 一致)⚠️ 关键注意事项:
- 不要混用命名参数与问号占位符:上面示例中 IN (...) 使用了 ? 占位符,因此 execute() 必须传入索引数组(array_values($mappings) 仅作示意;实际应传入所有 IN 中的旧值,如 [45,64,91]);
- 更严谨写法(全命名参数):
$inParams = []; foreach ($mappings as $old => $new) { $inParam = ':in_' . count($inParams); $inParams[$inParam] = $old; } $inClause = implode(',', array_keys($inParams)); $sql = "UPDATE color SET color_id = CASE color_id " . implode(' ', $caseParts) . " END WHERE color_id IN ({$inClause})"; $allParams = array_merge($params, $inParams); // 合并所有命名参数 $stmt = $conn->prepare($sql); $stmt->execute($allParams); - 数值型数据无需转义,但务必类型校验:若 $mappings 来自用户输入,应先验证所有键和值均为整数(is_int() 或 (int)$val === $val && $val >= 0),杜绝恶意字符串;
- 字符串值需额外转义?不推荐 addslashes():现代 PDO 在 PDO::PARAM_STR 绑定下已自动处理引号转义,唯一安全方式是始终使用参数绑定,而非手动拼接或 addslashes() —— 后者无法覆盖所有边界场景(如宽字节注入),且违背预处理设计初衷。
✅ 总结:真正的安全与高性能并存之道,是动态生成符合业务逻辑的参数化 SQL 字符串 + 全量命名参数绑定。它既复用了数据库单次解析/执行的优势,又彻底隔离了数据与代码,是 PDO 批量更新的最佳实践。
