PHP SQLite3操作核心要点:变量插入必须用prepare()/execute()防SQL注入;open()需检查返回值防静默失败;批量插入须用事务或拼接多值提升性能,扩展功能基本不可用。
PHP 用 SQLite3 类插入数据时,exec() 和 prepare()/execute() 的关键区别
直接用 exec() 执行 INSERT 是最简方式,但仅适合固定值、无用户输入的场景;一旦涉及变量,必须用预处理语句,否则面临 SQL 注入风险,且 SQLite3 不支持在 exec() 中拼接参数。
常见错误现象:exec("INSERT INTO user (name) VALUES ('" . $_POST['name'] . "')") —— 输入 O'Reilly 就报错 SQL error: near "Reilly": syntax error。
-
exec()只接受完整 SQL 字符串,不解析占位符,也不转义 -
prepare()返回SQLite3Stmt对象,bindValue()或bindParam()才真正绑定变量并做类型适配 - 字符串绑定默认为
SQLITE3_TEXT,数字建议显式指定SQLITE3_INTEGER避免隐式转换歧义
PHP 8.1+ 中 SQLite3::open() 失败却没报错?检查 openMode 参数和文件权限
默认调用 new SQLite3('db.sqlite') 等价于 open('db.sqlite', SQLITE3_OPEN_READWRITE | SQLITE3_OPEN_CREATE),但若目录不可写,构造函数静默失败(返回 false 而非抛异常),容易误判为“连接成功”。
典型表现:后续 query() 报 Trying to invoke method on null,因为对象未正确初始化。
立即学习“PHP免费学习笔记(深入)”;
- 务必检查构造返回值:
$db = new SQLite3('data.db'); if (!$db) { die('DB init failed'); } - 如只需读取,显式传
SQLITE3_OPEN_READONLY,避免因权限问题意外失败 - 路径必须是绝对路径或确保当前工作目录稳定(CLI 下常为脚本所在目录,Web 下则依赖
getcwd(),建议用__DIR__ . '/data.db')
批量插入性能差?别用循环 exec(),改用事务 + 单条 INSERT ... VALUES (),(),()
逐条执行 100 次 INSERT,耗时可能是开启事务后一次执行的 5–20 倍,主因是 SQLite 默认每条语句单独提交(fsync 开销大)。
错误做法:for ($i=0; $iexec("INSERT INTO log(msg) VALUES ('$msg[$i]')"); }
- 用
beginTransaction()+commit()包裹循环,减少磁盘同步次数 - 更优:拼接多值 INSERT,如
INSERT INTO t(a,b) VALUES (1,'x'),(2,'y'),(3,'z')(SQLite3 支持,但注意单条语句长度限制,默认约 1MB) - 拼接前确认所有值已通过
SQLite3::escapeString()或预处理过滤——拼接字符串时escapeString()仍必要,因预处理不适用此场景
SQLite3::loadExtension() 在 PHP 中基本不可用,别浪费时间调试
尽管 SQLite3 官方支持扩展(如 JSON、FTS5),但 PHP 编译时默认禁用扩展加载(SQLITE_ENABLE_LOAD_EXTENSION 未启用),且多数生产环境(尤其共享主机、Docker alpine 镜像)无法启用。
尝试 $db->loadExtension('libsqlitefunctions.so') 几乎总报 not authorized 或 undefined method。
- PHP 的
sqlite3.extension_dir配置项无效,该功能从未被 PHP 绑定实现 - 需要 JSON 功能?用 PHP 原生
json_encode()/json_decode()处理字段,而非依赖 SQLite JSON1 扩展 - 需要全文搜索?用
FULLTEXT TABLE语法创建表(PHP 可执行),但查询仍走标准SELECT ... MATCH 'term',无需额外扩展
