探索 PHP 数据库操作:从 MySQLi 到 PDO 的安全实践

2025-12-10 31阅读

数据库是 Web 应用的 “数据仓库”,PHP 通过 MySQLi、PDO 等扩展实现数据库交互。其中 PDO 支持多数据库类型,且自带防 SQL 注入功能,是更推荐的选择。本文对比两种方式,带你掌握安全的数据库操作。

202410231729651268789263.jpg

一、MySQLi(面向过程)基础操作

<?php
// 连接数据库
$conn = mysqli_connect("localhost", "user", "pass", "dbname");
// 执行查询
$result = mysqli_query($conn, "SELECT * FROM users");
// 读取数据
while ($row = mysqli_fetch_assoc($result)) {
  echo $row['username'] . "<br>";
}
mysqli_close($conn);
?>

二、PDO(更安全)预编译查询

<?php
// 连接数据库
$pdo = new PDO("mysql:host=localhost;dbname=dbname", "user", "pass");
// 预编译SQL(防注入)
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");
$stmt->bindParam(':id', $_GET['id']);
$stmt->execute();
// 读取数据
$user = $stmt->fetch(PDO::FETCH_ASSOC);
echo $user['username'];
?>

三、关键安全点:防 SQL 注入

  • MySQLi 需用mysqli_real_escape_string()转义参数;

  • PDO 预编译(prepare())自动处理参数转义,更安全。

总结

MySQLi 适合简单场景,PDO 更灵活、安全,推荐实际开发中优先使用 PDO。无论哪种方式,都要避免直接拼接用户输入到 SQL 语句中,防止注入攻击。


文章版权声明:除非注明,否则均为Dark零点博客原创文章,转载或复制请以超链接形式并注明出处。

相关阅读

目录[+]