PHP连接MySQL数据库的几种方法

知识点掌握了，还需要不断练习才能熟练运用。下面golang学习网给大家带来一个文章开发实战，手把手教大家学习《PHP连接MySQL数据库方法详解》，在实现功能的过程中也带大家重新温习相关知识点，温故而知新，回头看看说不定又有不一样的感悟！

PHP连接MySQL推荐使用mysqli或PDO扩展，二者均支持预处理语句以防止SQL注入。mysqli专用于MySQL，提供面向对象和过程式接口；PDO则支持多种数据库，具备更好的可移植性。两者都优于已废弃的旧mysql函数，因后者不支持预处理且存在安全缺陷。实际开发中应通过错误处理机制（如mysqli的connect_error或PDO的try-catch）捕获连接异常，并记录日志而非暴露敏感信息给用户。使用预处理语句能有效分离SQL逻辑与数据，提升安全性、性能和代码可维护性，尤其在处理用户输入时必须强制使用。无论选择哪种方式，均需养成绑定参数、正确处理结果集和及时关闭资源的良好习惯，以确保应用稳定可靠。

PHP连接MySQL数据库主要通过两种现代且官方推荐的扩展：mysqli（MySQL Improved Extension）和PDO（PHP Data Objects）。这两种方式都提供了安全、高效且功能丰富的数据库交互能力，是目前PHP应用与MySQL数据库通信的主流选择。

解决方案

在我看来，选择哪种方式，很多时候取决于个人的偏好和项目需求。但无论是mysqli还是PDO，核心目标都是一致的：安全、可靠地执行SQL查询并处理结果。

1. 使用mysqli扩展连接MySQL

mysqli扩展是专门为MySQL数据库设计的，它提供了面向对象和过程式两种API风格。我个人更倾向于面向对象的方式，因为它在代码组织上显得更清晰。

面向对象风格示例：

<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    // 实际项目中，这里通常会记录错误日志，而不是直接暴露给用户
    die("连接失败: " . $conn->connect_error);
}
echo "连接成功！<br>";

// 执行查询
$sql = "SELECT id, firstname, lastname FROM MyGuests";
$result = $conn->query($sql);

if ($result->num_rows > 0) {
    // 输出每行数据
    while($row = $result->fetch_assoc()) {
        echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>";
    }
} else {
    echo "0 结果";
}

// 关闭连接
$conn->close();
?>

2. 使用PDO（PHP Data Objects）连接MySQL

PDO提供了一个轻量级、一致的接口，用于连接多种数据库。这意味着如果你将来需要切换到PostgreSQL或SQLite，代码改动会非常小。这是我非常看重的一点，尤其是在做一些可能需要跨数据库兼容性的项目时。

PDO连接示例：

<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";

try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    // 设置PDO错误模式为异常，这样当出现错误时，PDO会抛出PDOException
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "连接成功！<br>";

    // 执行查询
    $stmt = $conn->prepare("SELECT id, firstname, lastname FROM MyGuests");
    $stmt->execute();

    // 设置结果集为关联数组
    $result = $stmt->setFetchMode(PDO::FETCH_ASSOC);

    // 遍历结果
    while ($row = $stmt->fetch()) {
        echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>";
    }

} catch(PDOException $e) {
    // 同样，实际项目中要记录日志
    echo "连接失败: " . $e->getMessage();
}

// PDO连接在脚本执行完毕后会自动关闭，也可以显式设置为null
$conn = null;
?>

为什么推荐使用PDO或mysqli而不是旧的mysql_函数？

这是一个非常关键的问题，也是我常常在培训或代码审查中强调的重点。简单来说，旧的mysql_函数（比如mysql_connect()、mysql_query()）在PHP 5.5中被废弃，并在PHP 7.0中彻底移除。这意味着如果你的PHP版本是7.0或更高，那些旧函数根本无法使用。

但更深层次的原因在于安全性和功能性。旧的mysql_函数在设计上存在严重缺陷，最臭名昭著的就是对SQL注入攻击的防护能力不足。它们没有内置的预处理语句（Prepared Statements）支持，开发者必须手动对输入数据进行转义，这非常容易出错且难以维护。一旦忘记转义，你的数据库就可能面临被恶意攻击的风险。我见过太多因为这个原因导致数据泄露的案例，教训非常惨痛。

相比之下，mysqli和PDO从设计之初就考虑到了现代数据库操作的需求。它们都原生支持预处理语句，这是一种将SQL逻辑与数据分离的机制，能够从根本上杜绝SQL注入。此外，它们提供了更丰富的特性，例如事务处理、更好的错误报告机制、以及对新版MySQL功能的兼容性。所以，为了你的应用安全和未来的可维护性，请务必使用mysqli或PDO。

如何处理数据库连接中的常见错误和异常？

在实际开发中，数据库连接失败是常有的事，可能是数据库服务器没启动，也可能是用户名密码输错了，甚至网络波动都可能导致连接中断。妥善处理这些错误和异常，是保证应用健壮性的重要一环。

对于mysqli，连接错误可以通过$conn->connect_error或mysqli_connect_error()来捕获。我的经验是，通常会在连接尝试后立即检查这个变量，如果发现错误，就立即终止脚本执行并记录错误日志。直接把错误信息显示给用户是不明智的，这会暴露你的系统配置信息。

// mysqli 错误处理示例
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    error_log("MySQL连接失败: " . $conn->connect_error); // 记录到服务器错误日志
    die("系统繁忙，请稍后再试。"); // 给用户友好的提示
}

而PDO则更推荐使用try-catch块来处理异常。通过设置PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION，PDO会在遇到错误时抛出PDOException，这样你就可以在一个集中的catch块中捕获并处理所有数据库相关的错误，这让错误处理变得非常优雅和统一。

// PDO 异常处理示例
try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    // ... 其他数据库操作
} catch(PDOException $e) {
    error_log("数据库操作失败: " . $e->getMessage()); // 记录日志
    die("抱歉，数据库操作出现问题，请联系管理员。"); // 友好提示
}

无论哪种方式，关键在于：不要将原始错误信息直接暴露给最终用户。这不仅不美观，更重要的是，它可能泄露敏感的数据库配置信息，给攻击者可乘之机。正确的做法是记录详细的错误日志（例如到文件或专门的日志服务），然后向用户显示一个通用的、友好的错误提示。

使用预处理语句（Prepared Statements）连接数据库有哪些好处和实践建议？

预处理语句是我认为现代PHP数据库编程中最重要的安全特性，没有之一。它的好处是多方面的，而且非常实际。

主要好处：

1. 防止SQL注入攻击： 这是最重要的。预处理语句将SQL查询的结构和实际数据分离开来。你先定义好一个带有占位符的SQL模板（比如SELECT * FROM users WHERE username = ? AND password = ?），然后再把数据绑定到这些占位符上。数据库在执行时，会明确区分哪个是SQL指令，哪个是数据，这样即使数据中包含恶意SQL代码，也会被当作普通字符串处理，从而彻底杜绝了SQL注入的风险。在我看来，这是每个开发者都必须掌握的技能。
2. 提高性能： 对于那些需要重复执行的查询（比如在一个循环中插入多条数据），预处理语句可以显著提高性能。数据库只需要解析一次SQL模板，后续每次执行只需要传入新的参数即可，省去了重复解析SQL的开销。
3. 代码更清晰、更易维护： 将SQL逻辑和数据分离，使得代码看起来更整洁，也更容易理解。你不需要手动进行各种字符串拼接和转义，减少了出错的可能性。

实践建议：

• 始终使用预处理语句： 只要你的SQL查询中包含任何来自用户输入（GET参数、POST数据、COOKIE等）或不可信来源的数据，就必须使用预处理语句。哪怕是一个看似简单的SELECT * FROM users WHERE id = ?，如果id来自用户输入，也应该使用预处理。
• 绑定参数时注意数据类型： mysqli的bind_param()方法需要指定参数类型（i代表整数，s代表字符串，d代表浮点数，b代表二进制）。PDO则更灵活，通常会自动推断类型，但你也可以显式指定。
• 处理结果集： 预处理语句执行后，需要像普通查询一样处理结果集。mysqli可以使用get_result()获取结果对象，或者bind_result()绑定列到变量。PDO则直接通过fetch()或fetchAll()方法获取结果。

mysqli预处理语句示例：

<?php
// ... 连接代码
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email); // "sss" 表示三个参数都是字符串

// 设置参数并执行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();

echo "新记录插入成功！";

$stmt->close();
// ... 关闭连接
?>

PDO预处理语句示例：

<?php
// ... 连接代码
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (:firstname, :lastname, :email)");

// 绑定命名参数
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);

// 设置参数并执行
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "mary@example.com";
$stmt->execute();

echo "新记录插入成功！";

// ... 关闭连接
?>

无论是mysqli还是PDO，预处理语句都是你数据库安全的第一道防线。养成使用它的习惯，能让你少走很多弯路，也能让你的应用更加健壮。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~