当前位置：首页 > 文章列表 > 文章 > php教程 > PHPMySQL查询入门：基础语句详解

PHPMySQL查询入门：基础语句详解

2025-10-03 16:34:57 0浏览收藏

本文深入解析PHP连接MySQL数据库进行查询的基础语句和最佳实践，着重强调了使用PDO和mysqli两种扩展的安全性和效率。**PHP MySQL查询教程：基础语句详解**，本文推荐使用PDO，因为它提供预处理语句以防止SQL注入，具备数据库抽象层和统一API，以及更强大的异常处理机制，从而实现更安全、灵活和易于维护的代码。文章详细讲解了如何使用PDO和mysqli进行SELECT、INSERT、UPDATE和DELETE查询，并提供了代码示例。同时，强调了使用预处理语句防止SQL注入的重要性，以及处理大量MySQL查询结果时的优化策略，如分页查询、选择必要字段、合理使用索引和使用PHP生成器。无论选择PDO还是mysqli，理解其特性并遵循最佳实践是构建安全高效PHP应用的基石。

PHP连接MySQL查询的核心是使用PDO或mysqli扩展建立连接并执行SQL。推荐使用PDO，因其支持预处理语句防止SQL注入、具备数据库抽象层、统一API及异常处理机制，更安全灵活；mysqli适用于仅操作MySQL且追求轻量的场景，但PDO在可维护性和扩展性上更具优势。

PHPMySQL查询怎么写_PHPMySQL数据库查询语句使用教程

PHP连接MySQL进行查询，核心在于利用PHP提供的数据库扩展（如mysqli或PDO）建立与数据库的连接，然后构造并执行SQL语句，最后处理返回的结果集。这整个过程，从连接到数据获取，都需要细致的步骤和对潜在问题的考量。

解决方案

在PHP中进行MySQL数据库查询，我个人更倾向于使用PDO（PHP Data Objects），因为它提供了一个统一的接口来访问多种数据库，并且在处理预处理语句方面做得非常出色，这对于防止SQL注入至关重要。当然，mysqli扩展也是一个非常有效的选择，尤其当你只专注于MySQL时。

使用PDO进行查询

这是我推荐的方式，因为它更现代，也更安全。

建立数据库连接：

<?php
$dsn = 'mysql:host=localhost;dbname=your_database_name;charset=utf8mb4';
$username = 'your_username';
$password = 'your_password';

try {
    $pdo = new PDO($dsn, $username, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // 设置错误模式为抛出异常
    $pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC); // 默认获取关联数组
    // echo "数据库连接成功！"; // 调试用
} catch (PDOException $e) {
    die("数据库连接失败: " . $e->getMessage());
}
?>

这里我通常会把数据库配置放在一个单独的文件里，避免直接暴露在代码中，也方便管理。ATTR_ERRMODE_EXCEPTION这个设置非常关键，它能让数据库操作的错误以异常的形式抛出，方便我们捕获和处理。

执行SELECT查询（带参数绑定）： 这是最常见的查询类型，也是我最强调要使用预处理语句的地方。

<?php
// 假设我们要查询用户ID为100的用户信息
$userId = 100;
$stmt = $pdo->prepare("SELECT id, name, email FROM users WHERE id = :id");
$stmt->bindParam(':id', $userId, PDO::PARAM_INT); // 绑定参数
$stmt->execute();

// 获取单条结果
$user = $stmt->fetch();
if ($user) {
    echo "用户ID: " . $user['id'] . ", 姓名: " . $user['name'] . ", 邮箱: " . $user['email'] . "<br>";
} else {
    echo "未找到用户ID为 " . $userId . " 的用户。<br>";
}

// 获取所有结果
$stmt = $pdo->prepare("SELECT id, name, email FROM users WHERE status = :status");
$stmt->bindParam(':status', $status, PDO::PARAM_STR);
$status = 'active'; // 假设我们要查询所有活跃用户
$stmt->execute();
$activeUsers = $stmt->fetchAll();
foreach ($activeUsers as $user) {
    echo "活跃用户ID: " . $user['id'] . ", 姓名: " . $user['name'] . "<br>";
}
?>

可以看到，prepare和bindParam是防止SQL注入的利器，它将SQL逻辑和数据分离，数据库在执行前会先解析SQL结构，再填充数据。

执行INSERT/UPDATE/DELETE查询： 这类操作同样建议使用预处理语句。

<?php
// INSERT
$name = '新用户';
$email = 'newuser@example.com';
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':email', $email);
$stmt->execute();
echo "新用户插入成功，ID为: " . $pdo->lastInsertId() . "<br>";

// UPDATE
$newName = '更新后的名字';
$updateId = 101;
$stmt = $pdo->prepare("UPDATE users SET name = :name WHERE id = :id");
$stmt->bindParam(':name', $newName);
$stmt->bindParam(':id', $updateId, PDO::PARAM_INT);
$stmt->execute();
echo "更新了 " . $stmt->rowCount() . " 条记录。<br>";

// DELETE
$deleteId = 102;
$stmt = $pdo->prepare("DELETE FROM users WHERE id = :id");
$stmt->bindParam(':id', $deleteId, PDO::PARAM_INT);
$stmt->execute();
echo "删除了 " . $stmt->rowCount() . " 条记录。<br>";
?>

lastInsertId()在插入操作后获取新插入记录的ID非常有用，而rowCount()则能告诉你受影响的行数。

使用mysqli进行查询

mysqli是MySQL的增强版扩展，提供了面向对象和面向过程两种风格。这里我主要展示面向对象的风格，因为它更符合现代PHP的开发习惯。

建立数据库连接：

<?php
$mysqli = new mysqli("localhost", "your_username", "your_password", "your_database_name");

if ($mysqli->connect_errno) {
    die("数据库连接失败: " . $mysqli->connect_error);
}
// $mysqli->set_charset("utf8mb4"); // 设置字符集
// echo "数据库连接成功！"; // 调试用
?>

mysqli的错误处理通常是通过检查connect_errno和connect_error来完成的。

执行SELECT查询（带参数绑定）：

<?php
$userId = 100;
$stmt = $mysqli->prepare("SELECT id, name, email FROM users WHERE id = ?");
$stmt->bind_param("i", $userId); // "i" 表示整数类型
$stmt->execute();
$result = $stmt->get_result(); // 获取结果集

if ($result->num_rows > 0) {
    $user = $result->fetch_assoc(); // 获取关联数组
    echo "用户ID: " . $user['id'] . ", 姓名: " . $user['name'] . ", 邮箱: " . $user['email'] . "<br>";
} else {
    echo "未找到用户ID为 " . $userId . " 的用户。<br>";
}
$stmt->close(); // 关闭预处理语句

// 获取所有结果
$status = 'active';
$stmt = $mysqli->prepare("SELECT id, name, email FROM users WHERE status = ?");
$stmt->bind_param("s", $status); // "s" 表示字符串类型
$stmt->execute();
$result = $stmt->get_result();
while ($user = $result->fetch_assoc()) {
    echo "活跃用户ID: " . $user['id'] . ", 姓名: " . $user['name'] . "<br>";
}
$stmt->close();
?>

bind_param的第一个参数是类型字符串，例如"i"代表integer，"s"代表string，"d"代表double，"b"代表blob。

执行INSERT/UPDATE/DELETE查询：

<?php
// INSERT
$name = '新用户_mysqli';
$email = 'newuser_mysqli@example.com';
$stmt = $mysqli->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->bind_param("ss", $name, $email);
$stmt->execute();
echo "新用户插入成功，ID为: " . $mysqli->insert_id . "<br>";
$stmt->close();

// UPDATE
$newName = '更新后的名字_mysqli';
$updateId = 103;
$stmt = $mysqli->prepare("UPDATE users SET name = ? WHERE id = ?");
$stmt->bind_param("si", $newName, $updateId);
$stmt->execute();
echo "更新了 " . $mysqli->affected_rows . " 条记录。<br>";
$stmt->close();

// DELETE
$deleteId = 104;
$stmt = $mysqli->prepare("DELETE FROM users WHERE id = ?");
$stmt->bind_param("i", $deleteId);
$stmt->execute();
echo "删除了 " . $mysqli->affected_rows . " 条记录。<br>";
$stmt->close();
?>

mysqli中获取最后插入ID和受影响行数分别是$mysqli->insert_id和$mysqli->affected_rows。

无论使用哪种扩展，记得在所有数据库操作完成后，通过$pdo = null;或$mysqli->close();来关闭数据库连接，释放资源。

PHP MySQL查询中如何有效防止SQL注入攻击？

SQL注入无疑是数据库安全领域最臭名昭著的漏洞之一，它能让攻击者绕过认证、窃取数据，甚至完全控制数据库。我见过太多新手因为怕麻烦或不了解而直接拼接字符串，这简直是自掘坟墓。

最有效且推荐的防御机制就是使用预处理语句（Prepared Statements）与参数绑定。无论是PDO还是mysqli，都提供了这种机制。

它的工作原理是这样的：当你使用预处理语句时，SQL查询语句会先发送到数据库服务器进行编译。在这个阶段，SQL语句的结构是固定的，参数的位置用占位符（如?或:name）表示。数据库只关心这个查询的“骨架”是什么。随后，你再将实际的数据（参数）发送给数据库。数据库会把这些数据填充到预编译好的SQL语句中，但它不会再将这些数据当作SQL代码的一部分来解析。它只会把它们当作纯粹的值来处理。

举个例子，如果用户输入了' OR '1'='1，在没有预处理的情况下，这可能会变成SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '...'，直接导致绕过认证。但如果使用了预处理，数据库会把' OR '1'='1当作一个完整的字符串值来处理，而不是解析其中的OR和=，因此不会改变查询的逻辑。

PDO的预处理示例：

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$stmt->bindParam(':username', $inputUsername);
$stmt->bindParam(':password', $inputPassword);
$stmt->execute();

这里的:username和:password就是命名占位符。

mysqli的预处理示例：

$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $inputUsername, $inputPassword); // "ss"表示两个字符串参数
$stmt->execute();

这里的?是匿名占位符。

除了预处理语句，还有一些辅助措施可以增加安全性：

输入验证和过滤： 尽管预处理是主要防线，但对用户输入进行类型检查、长度限制、特殊字符过滤等仍然是好习惯。例如，如果期望一个整数，就确保它真的是整数。
最小权限原则： 数据库用户应该只拥有其完成任务所需的最小权限。不要用root用户来运行Web应用。
错误信息隐藏： 生产环境中不要直接向用户显示详细的数据库错误信息，这可能会泄露数据库结构或凭据。

总之，防止SQL注入，预处理语句是基石，务必掌握并坚持使用。

处理大量MySQL查询结果时，PHP有哪些优化策略？

在处理大量数据时，如果不加思索地一股脑儿全部取出来，PHP应用很容易遇到内存耗尽或执行超时的问题。我以前就吃过这样的亏，一个不小心就导致服务器OOM。所以，优化策略是必须的。

分页查询（LIMIT和OFFSET）： 这是最直接也是最常用的方法。不要一次性查询所有数据，而是分批次获取。

SELECT * FROM articles ORDER BY publish_date DESC LIMIT 20 OFFSET 0; -- 第一页，取20条
SELECT * FROM articles ORDER BY publish_date DESC LIMIT 20 OFFSET 20; -- 第二页，取20条

在PHP中，你可以根据用户请求的页码和每页显示的条数来动态计算OFFSET。

$page = isset($_GET['page']) ? (int)$_GET['page'] : 1;
$limit = 20;
$offset = ($page - 1) * $limit;

$stmt = $pdo->prepare("SELECT id, title, author FROM articles ORDER BY publish_date DESC LIMIT :limit OFFSET :offset");
$stmt->bindParam(':limit', $limit, PDO::PARAM_INT);
$stmt->bindParam(':offset', $offset, PDO::PARAM_INT);
$stmt->execute();
$articles = $stmt->fetchAll();

这能显著减少每次查询的数据量，减轻数据库和PHP应用的内存压力。

只选择必要的字段： 避免使用SELECT *。只查询你真正需要的列。
```
-- 不推荐
SELECT * FROM users;
-- 推荐
SELECT id, username, email FROM users;
```
减少数据传输量，数据库也不需要处理不必要的字段。
合理使用索引： 为WHERE子句、JOIN条件和ORDER BY子句中经常使用的列创建索引。索引能大幅提升查询速度，尤其是在数据量大的情况下。
```
ALTER TABLE users ADD INDEX idx_username (username);
```
但也要注意，过多的索引会增加写入（INSERT/UPDATE/DELETE）操作的开销，所以要权衡。
使用yield关键字处理大数据集（PHP生成器）： 如果你确实需要遍历一个非常大的结果集，但又不想一次性加载到内存，PHP的生成器（Generator）是一个非常优雅的解决方案。它允许你在需要时才获取下一条数据，而不是一次性全部加载。
```
function getLargeResultSet(PDO $pdo) {
    $stmt = $pdo->query("SELECT id, data FROM very_large_table");
    while ($row = $stmt->fetch()) {
        yield $row; // 每次只返回一行数据
    }
}

// 遍历时，内存占用会非常小
foreach (getLargeResultSet($pdo) as $item) {
    // 处理 $item
    echo $item['id'] . ": " . $item['data'] . "<br>";
}
```
这在处理日志文件、大数据导出等场景下特别有用。
考虑数据库连接池和持久连接： 虽然不是直接针对查询结果的优化，但连接的建立和关闭也是开销。在某些高并发场景下，使用持久连接（PDO::ATTR_PERSISTENT => true）或连接池可以减少连接建立的开销。但这需要谨慎使用，因为持久连接可能会带来一些意外的状态管理问题。
查询缓存（如果适用）： MySQL有自己的查询缓存机制，但它在MySQL 8.0中已被移除，因为它在高并发场景下表现不佳。现在更推荐在应用层使用缓存，例如Redis或Memcached，来缓存频繁查询且不常变动的数据。这能极大减轻数据库的压力。

这些策略并非相互独立，通常是组合使用，才能在处理大量数据时达到最佳效果。

在PHP应用中，选择mysqli还是PDO扩展进行MySQL数据库操作更具优势？

这是一个老生常谈的问题，也是很多开发者在项目初期会纠结的点。在我看来，虽然两者都能完成MySQL数据库操作，但PDO在大多数现代PHP应用中更具优势。

我个人偏向PDO，原因如下：

数据库抽象层（Database Abstraction Layer, DAL）： PDO最大的特点是它是一个数据库抽象层。这意味着如果你有一天需要从MySQL切换到PostgreSQL、SQLite或其他数据库，你只需要修改连接字符串和一些配置，而核心的查询逻辑代码几乎不需要改动。这对于需要支持多种数据库或未来可能需要切换数据库的项目来说，是一个巨大的优势。mysqli则只能用于MySQL。
统一的API： PDO提供了一致的、面向对象的API来处理所有支持的数据库。一旦你掌握了PDO，你就可以用同样的方式操作不同的数据库。这简化了学习曲线，也减少了代码的复杂性。
更强大的预处理和参数绑定： 虽然mysqli也支持预处理语句，但PDO的实现通常被认为更灵活和易用。它支持命名占位符（如:name），这使得SQL语句在有多个参数时更具可读性。mysqli只支持匿名占位符（?），需要你严格按照顺序绑定参数，这在参数多的时候容易出错。
更灵活的错误处理： PDO允许你设置不同的错误模式。我通常会设置PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION，这样数据库错误就会以异常的形式抛出，这与现代PHP的错误处理机制（try-catch）完美结合，使得错误捕获和处理更加清晰和优雅。mysqli的错误处理通常需要手动检查错误码和错误信息。
更好的安全性： 虽然两者都支持预处理，但PDO的默认行为和设计哲学在一定程度上鼓励更安全的编码实践。

当然，mysqli也有它的优点，特别是在一些特定场景下：

性能： 在某些基准测试中，mysqli在纯粹的MySQL操作上可能会略微快于PDO，因为它更直接地与MySQL API交互，开销可能更小。但对于大多数Web应用来说，这种性能差异微乎其微，通常不会成为瓶颈。
MySQL特有功能： 如果你的应用需要大量使用MySQL的特定高级功能（例如存储过程、多语句查询等），mysqli可能会提供更直接或更完整的支持。

总结一下我的建议：

对于新的PHP项目，尤其是那些需要考虑未来扩展性、维护性和代码整洁度的项目，我强烈推荐使用PDO。它的抽象能力、统一API和优秀的错误处理机制，能够帮助你构建更健壮、更灵活的应用。

如果你正在维护一个历史项目，并且它已经大量使用了mysqli，那么继续使用mysqli可能更实际，因为重构的成本可能很高。但即使如此，也要确保你充分利用了mysqli的预处理语句来防止SQL注入。

最终的选择，还是取决于你的项目需求、团队熟悉度以及对未来发展的考量。但从现代PHP开发趋势来看，PDO无疑是更主流和推荐的选择。

文中关于mysql,php,pdo,sql注入,mysqli的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《PHPMySQL查询入门：基础语句详解》文章吧，也可关注golang学习网公众号了解相关技术文章。

mysql php pdo sql注入 mysqli