5154

在动态网页开发中，PHP与数据库的交互是构建功能强大应用的核心，向数据库添加数据（即执行INSERT操作）是最基础且频繁的任务之一，本文将详细介绍如何使用PHP安全、高效地向MySQL数据库中添加数据，涵盖准备工作、连接数据库、执行添加操作以及关键的安全实践。

准备工作：创建数据库与表

在编写PHP代码之前，您需要确保已经具备一个运行中的数据库环境（如MySQL），并创建好了目标数据库和数据表，以一个简单的用户表为例，您可以通过以下SQL语句在MySQL中创建一个名为my_website的数据库和一个users表。

-- 创建数据库
CREATE DATABASE IF NOT EXISTS my_website CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
-- 使用数据库
USE my_website;
-- 创建用户表
CREATE TABLE IF NOT EXISTS users (
    id INT(11) AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) NOT NULL UNIQUE,
    email VARCHAR(100) NOT NULL UNIQUE,
    reg_date TIMESTAMP DEFAULT CURRENT_TIMESTAMP
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

这个users表包含了自增主键id、用户名username、邮箱email和注册时间reg_date，准备好这个基础结构后,我们就可以开始编写PHP代码来向其中添加数据了。

连接数据库

PHP提供了两种主流的方式来与MySQL数据库交互：MySQLi（MySQL Improved）和PDO（PHP Data Objects），PDO因其支持多种数据库系统和更强大的功能（尤其是预处理语句）而成为现代PHP开发的首选。

使用PDO连接数据库

PDO提供了一个数据访问抽象层，这意味着无论使用哪种数据库,其函数都是统一的。

<?php
$host = 'localhost';
$db   = 'my_website';
$user = 'root'; // 您的数据库用户名
$pass = '';     // 您的数据库密码
$charset = 'utf8mb4';
$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
$options = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION, // 抛出异常
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,       // 默认获取关联数组
    PDO::ATTR_EMULATE_PREPARES   => false,                  // 禁用预处理模拟
];
try {
     $pdo = new PDO($dsn, $user, $pass, $options);
} catch (\PDOException $e) {
     throw new \PDOException($e->getMessage(), (int)$e->getCode());
}
?>

这段代码通过try...catch块来处理连接错误，如果连接失败，会抛出异常并显示错误信息,这在开发阶段非常有用。

核心步骤：向数据库添加数据

向数据库添加数据的核心是执行SQL的INSERT语句，为了防止SQL注入攻击，强烈推荐使用预处理语句。

使用PDO预处理语句添加数据

预处理语句将SQL命令与数据分离开来，首先发送SQL模板到数据库服务器进行编译，然后再发送数据，这样,数据就永远不会被当作SQL代码的一部分来执行。

以下是完整的添加数据示例：

<?php
// ... (此处包含上面的PDO连接代码) ...
// 假设我们从表单或其它地方获取了用户数据
$username = 'testuser';
$email = 'test@example.com';
// 1. 准备SQL语句模板，使用命名占位符
$sql = "INSERT INTO users (username, email) VALUES (:username, :email)";
// 2. 准备预处理语句
$stmt = $pdo->prepare($sql);
// 3. 绑定参数并执行
try {
    // 绑定变量到命名占位符
    $stmt->bindParam(':username', $username, PDO::PARAM_STR);
    $stmt->bindParam(':email', $email, PDO::PARAM_STR);
    // 执行语句
    $stmt->execute();
    echo "新用户ID: " . $pdo->lastInsertId(); // 获取最后插入的记录ID
} catch (\PDOException $e) {
    // 如果用户名或邮箱已存在（因为设置了UNIQUE约束），会捕获到异常
    echo "添加失败: " . $e->getMessage();
}
// 关闭连接
$pdo = null;
?>

使用MySQLi预处理语句添加数据

如果您选择使用MySQLi,其面向对象的写法与PDO类似。

<?php
// MySQLi 连接信息
$host = 'localhost';
$db   = 'my_website';
$user = 'root';
$pass = '';
// 创建连接
$mysqli = new mysqli($host, $user, $pass, $db);
// 检查连接
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}
// 准备数据
$username = 'mysqli_user';
$email = 'mysqli@example.com';
// 1. 准备SQL语句，使用问号占位符
$sql = "INSERT INTO users (username, email) VALUES (?, ?)";
// 2. 准备预处理语句
$stmt = $mysqli->prepare($sql);
if ($stmt === false) {
    die("预处理失败: " . $mysqli->error);
}
// 3. 绑定参数并执行
// "ss" 表示两个参数都是字符串类型
$stmt->bind_param("ss", $username, $email);
if ($stmt->execute()) {
    echo "新用户ID: " . $stmt->insert_id;
} else {
    echo "添加失败: " . $stmt->error;
}
// 关闭语句和连接
$stmt->close();
$mysqli->close();
?>

PDO与MySQLi对比

为了帮助您做出选择,下表小编总结了PDO和MySQLi的主要区别：

从长远来看，学习和使用PDO是更具前瞻性的选择,它为未来可能的项目迁移提供了极大的便利。

安全注意事项

1. 永远不要信任用户输入：在将数据存入数据库前，应进行验证和过滤，检查邮箱格式是否正确,用户名长度是否符合要求。
2. 始终使用预处理语句：这是防止SQL注入最有效的方法,切勿直接将变量拼接到SQL字符串中。
3. 隐藏详细错误信息：在生产环境中，应关闭PHP的错误显示，并将错误记录到日志文件中,避免向用户暴露数据库结构等敏感信息。

相关问答FAQs

问题1：连接数据库时，我应该使用PDO还是MySQLi？

解答： 对于新项目，强烈推荐使用PDO，主要原因有三点：PDO提供了一个统一的接口，可以轻松切换到其他数据库系统（如PostgreSQL、SQLite），而无需重写大部分数据库代码，PDO支持命名占位符（如username），这使得代码在参数较多时更易读、更不易出错，PDO的异常处理机制（try...catch）更现代化，便于集中管理错误，只有当您确定项目将永久且仅使用MySQL数据库，并且您对MySQLi的某些特定函数有需求时,才考虑使用MySQLi。

问题2：什么是SQL注入？预处理语句是如何防止它的？

解答： SQL注入是一种代码注入技术，攻击者通过在Web应用的输入字段中“注入”恶意的SQL代码，来欺骗服务器执行非预期的数据库操作，在一个登录查询中，如果直接拼接用户输入，攻击者可能输入类似 ' OR '1'='1 的字符串,从而绕过密码验证。

预处理语句通过命令与数据分离的机制来有效防止SQL注入,它的工作流程是：

1. 发送模板：PHP先将SQL命令的结构（如 SELECT * FROM users WHERE username = ?）发送给数据库进行编译,此时数据库已经知道这是一个查询结构。
2. 发送数据：之后，PHP再将用户输入的数据（如 ' OR '1'='1'）单独发送过去。 因为数据库已经完成了SQL命令的编译，所以后续发送的数据只会被当作纯粹的数据处理，而不会被解释为SQL命令的一部分，这样，即使用户输入包含恶意代码，它也只会被当作一个普通的字符串来查询,从而从根本上杜绝了SQL注入的风险。