在业务系统开发中,经常会遇到需要将一组ID以集合形式存储到数据库的场景,比如用户的收藏商品ID列表、文章的标签ID集合等。部分开发者会选择将ID列表序列化为JSON格式,直接存储到MySQL的JSON类型字段或者文本字段中。这种存储方式虽然灵活,但如果后续需要基于这些ID列表进行批量查询关联数据,处理不当很容易出现性能瓶颈或者SQL注入风险。

JSON存储ID列表的常见场景与问题
常见的存储方式是在用户表或者业务表中添加一个JSON类型的字段,用于存储关联的ID集合。比如用户收藏表的结构可能如下:
CREATE TABLE user_favorite (
id INT PRIMARY KEY AUTO_INCREMENT,
user_id INT NOT NULL,
-- 存储收藏的商品ID列表,格式为 [1,2,3,4]
favorite_product_ids JSON,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
如果直接通过PHP解析JSON后拼接SQL语句,比如把ID列表直接拼接到IN条件中,不仅容易引发SQL注入,当ID数量较多时还会导致SQL语句过长,查询性能下降。同时如果JSON字段存储的是字符串格式的ID,比如["1","2","3"],直接处理也会遇到类型不匹配的问题。
PHP端解析JSON ID列表的正确方式
首先需要在PHP端安全地解析JSON格式的ID列表,过滤掉非法的ID值,避免无效数据进入查询逻辑。示例代码如下:
<?php
// 假设从数据库查询出的favorite_product_ids字段值为 '["1","2","3","abc"]'
$jsonIds = '["1","2","3","abc"]';
// 解析JSON
$idList = json_decode($jsonIds, true);
$validIds = [];
if (is_array($idList)) {
foreach ($idList as $id) {
// 过滤非整数ID,避免SQL注入和无效查询
if (is_numeric($id) && (int)$id == $id && $id > 0) {
$validIds[] = (int)$id;
}
}
}
// 去重ID,减少重复查询
$validIds = array_unique($validIds);
// 如果ID列表为空,直接返回空结果
if (empty($validIds)) {
echo "无有效ID,无需查询";
exit;
}
?>
这里通过json_decode解析JSON字符串,然后逐个校验ID是否为正整数,同时去除重复的ID,避免后续查询出现冗余条件。
MySQL端高效查询JSON存储的ID列表
MySQL 5.7及以上版本对JSON类型字段提供了原生支持,可以直接在SQL中解析JSON内容,不需要先查询出来再在PHP端处理,减少数据传输开销。
使用JSON函数直接查询关联数据
如果需要查询收藏了指定商品的用户信息,可以使用JSON_CONTAINS函数判断JSON字段中是否包含目标ID:
-- 查询收藏了商品ID为2的用户 SELECT user_id FROM user_favorite WHERE JSON_CONTAINS(favorite_product_ids, '2', '$');
如果需要批量查询多个ID对应的关联数据,也可以结合JSON_TABLE函数将JSON数组转换为行数据,再进行关联查询:
-- 将user_favorite表的favorite_product_ids JSON数组转换为行,再关联商品表查询商品信息
SELECT
uf.user_id,
p.id AS product_id,
p.product_name
FROM user_favorite uf
-- 将JSON数组转为行,column_name为转换后的ID列名
CROSS JOIN JSON_TABLE(
uf.favorite_product_ids,
'$[*]' COLUMNS (product_id INT PATH '$')
) AS jt
LEFT JOIN product p ON jt.product_id = p.id
WHERE uf.user_id = 1;
批量查询的优化方案
如果需要基于用户的ID列表查询商品详情,更推荐的方式是在PHP端处理好有效ID后,使用预处理语句进行批量查询,避免SQL注入的同时提升性能:
<?php
// 假设已经通过上面的逻辑得到$validIds数组,包含[1,2,3]
// 生成预处理占位符,数量和ID数量一致
$placeholders = implode(',', array_fill(0, count($validIds), '?'));
// 构造查询SQL
$sql = "SELECT id, product_name, price FROM product WHERE id IN ($placeholders)";
// 假设已经建立了PDO数据库连接$pdo
$stmt = $pdo->prepare($sql);
// 绑定参数,避免SQL注入
$stmt->execute($validIds);
$productList = $stmt->fetchAll(PDO::FETCH_ASSOC);
// 输出查询结果
print_r($productList);
?>
这种方式既保证了查询的安全性,又通过预处理语句减少了SQL解析的开销,当ID数量较多时性能远优于拼接SQL的方式。
性能对比与最佳实践
我们可以通过简单的测试对比不同方式的性能:
| 处理方式 | 100个ID查询耗时 | 安全性 | 适用场景 |
|---|---|---|---|
| PHP解析后拼接SQL | 约120ms | 低,易引发注入 | 不推荐使用 |
| MySQL JSON函数查询 | 约80ms | 高 | 无需返回关联ID的场景 |
| PHP预处理批量查询 | 约30ms | 高 | 需要返回ID对应详情的场景 |
最佳实践建议:如果只需要判断JSON字段是否包含某个ID,优先使用MySQL的JSON函数;如果需要基于ID列表查询关联表的详细信息,优先在PHP端解析过滤ID后,使用预处理IN查询,同时建议给关联表的ID字段添加索引,进一步提升查询效率。
注意:如果ID列表长度经常超过1000,建议考虑调整存储结构,比如单独建立关联关系表,避免JSON字段过长影响查询性能。