在PHP开发中,和数据库交互是几乎所有项目都会涉及的核心功能,传统的直接拼接SQL字符串的方式存在严重的SQL注入风险,而PDO扩展提供的预处理语句机制可以从根本上解决这个问题,同时还能提升重复查询的执行效率。PDO预处理语句的核心逻辑是先把SQL模板发送给数据库服务器进行预编译,之后再单独传递参数,数据库不会把参数当作SQL指令解析,从而避免注入问题。

PDO预处理语句的核心优势
相比直接执行普通SQL语句,PDO预处理语句有三个非常明显的优势:
- 安全性更高:参数和SQL逻辑分离,外部传入的参数不会被解析为SQL指令,从根源上杜绝SQL注入攻击。
- 执行效率更高:如果同一个SQL模板需要多次执行,只需要预编译一次,之后每次只需要传递不同的参数即可,减少数据库的解析开销。
- 代码可读性更强:SQL模板和参数分开管理,逻辑更清晰,后续维护时更容易定位问题。
PDO预处理语句实践步骤
1. 建立PDO数据库连接
首先需要使用PDO构造函数创建数据库连接,设置正确的字符集和错误模式,方便后续调试。以下是连接MySQL数据库的示例代码:
<?php
// 数据库配置参数
$host = '127.0.0.1';
$dbname = 'test_db';
$username = 'root';
$password = '123456';
$charset = 'utf8mb4';
// 构造DSN字符串
$dsn = "mysql:host=$host;dbname=$dbname;charset=$charset";
try {
// 创建PDO实例
$pdo = new PDO($dsn, $username, $password);
// 设置错误模式为异常模式,方便捕获错误
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
echo "数据库连接成功";
} catch (PDOException $e) {
echo "数据库连接失败:" . $e->getMessage();
}
?>
2. 编写预处理SQL模板
预处理SQL模板中使用占位符代替具体的参数值,PDO支持两种占位符:命名占位符和问号占位符。命名占位符格式为:参数名,问号占位符是?,按顺序对应参数。以下是两种占位符的示例:
<?php // 命名占位符示例:查询用户表中指定id的用户信息 $sqlWithNamedParam = "SELECT id, username, email FROM users WHERE id = :user_id AND status = :user_status"; // 问号占位符示例:查询用户表中指定id的用户信息 $sqlWithQuestionMark = "SELECT id, username, email FROM users WHERE id = ? AND status = ?"; ?>
3. 准备预处理语句
使用PDO实例的prepare()方法把SQL模板发送给数据库进行预编译,该方法会返回一个PDOStatement对象,后续的操作都通过这个对象完成。
<?php // 使用命名占位符的SQL模板准备预处理语句 $stmt = $pdo->prepare($sqlWithNamedParam); // 如果使用问号占位符,代码类似 // $stmt = $pdo->prepare($sqlWithQuestionMark); ?>
4. 绑定参数并执行查询
绑定参数有两种方式,一种是通过bindParam()方法绑定变量,另一种是在execute()方法中直接传入参数数组。如果是多次执行同一个预处理语句,使用bindParam()更高效,因为只需要绑定一次变量,之后修改变量值即可重复执行。
方式一:使用bindParam绑定参数
<?php
// 定义参数变量
$userId = 1;
$userStatus = 1;
// 绑定命名占位符参数,第一个参数是占位符名称,第二个是变量引用,第三个是参数类型
$stmt->bindParam(':user_id', $userId, PDO::PARAM_INT);
$stmt->bindParam(':user_status', $userStatus, PDO::PARAM_INT);
// 执行预处理语句
$stmt->execute();
// 获取查询结果
$result = $stmt->fetch(PDO::FETCH_ASSOC);
print_r($result);
?>
方式二:execute直接传入参数数组
<?php
// 命名占位符对应关联数组
$params = [
':user_id' => 2,
':user_status' => 1
];
$stmt->execute($params);
$result = $stmt->fetch(PDO::FETCH_ASSOC);
print_r($result);
// 如果是问号占位符,传入索引数组即可
// $stmt2 = $pdo->prepare($sqlWithQuestionMark);
// $stmt2->execute([2, 1]);
// $result2 = $stmt2->fetch(PDO::FETCH_ASSOC);
?>
5. 执行增删改操作
预处理语句不仅支持查询操作,也支持插入、更新、删除等写操作,流程和查询类似,只是执行后可以通过rowCount()方法获取受影响的行数。
<?php
// 插入数据的预处理SQL
$insertSql = "INSERT INTO users (username, email, status) VALUES (:username, :email, :status)";
$insertStmt = $pdo->prepare($insertSql);
// 绑定参数并执行
$insertStmt->execute([
':username' => 'test_user',
':email' => 'test@ipipp.com',
':status' => 1
]);
// 获取受影响的行数
$affectedRows = $insertStmt->rowCount();
echo "插入成功,受影响行数:$affectedRows";
?>
注意事项
- 使用命名占位符时,占位符名称需要和
bindParam或者execute传入的数组键名完全一致,包括前面的冒号。 - 如果参数是字符串类型,
bindParam的第三个参数可以省略,默认是PDO::PARAM_STR,如果是整数建议显式指定PDO::PARAM_INT,避免类型转换问题。 - 预处理语句的
PDOStatement对象执行后,可以多次调用fetch相关方法获取结果,不需要重新准备语句。 - 当操作完成后,可以手动将
$pdo赋值为null关闭数据库连接,不过PHP脚本执行结束后会自动释放连接。
和普通SQL执行的对比
以下是普通SQL拼接方式和预处理语句的对比,可以看出预处理语句在安全性上的优势非常明显:
| 对比维度 | 普通SQL拼接 | PDO预处理语句 |
|---|---|---|
| SQL注入风险 | 高,外部参数直接拼接进SQL会被执行 | 无,参数不会被解析为SQL指令 |
| 重复执行效率 | 低,每次都需要重新解析SQL | 高,预编译一次可多次执行 |
| 代码可维护性 | 差,SQL和参数混在一起 | 好,SQL模板和参数分离 |
在实际的PHP项目开发中,只要涉及数据库操作,都建议优先使用PDO预处理语句,既可以保障项目安全,也能提升代码的整体质量。