php数据库指令有哪些常用操作和语法规则？

PHP数据库指令是Web开发中与数据库交互的核心工具，它们允许开发者执行查询、更新、删除和管理数据库操作，通过这些指令，PHP可以与MySQL、PostgreSQL、SQLite等多种数据库系统无缝集成，动态生成和管理网站数据，本文将详细介绍PHP中常用的数据库指令，涵盖连接数据库、执行查询、处理结果集以及事务管理等关键操作，帮助开发者高效、安全地操作数据库。

连接数据库

在PHP中，与数据库交互的第一步是建立连接，以MySQL为例，可以使用mysqli或PDO扩展来实现。mysqli是MySQL的专用扩展，支持面向过程和面向对象两种方式，使用面向对象方式连接数据库的代码如下：

$host = "localhost";  
$username = "root";  
$password = "";  
$database = "test_db";  
$conn = new mysqli($host, $username, $password, $database);  
if ($conn->connect_error) {  
    die("连接失败: " . $conn->connect_error);  
}  

PDO（PHP Data Objects）则是一种更通用的数据库抽象层，支持多种数据库，使用PDO连接数据库的示例：

$dsn = "mysql:host=localhost;dbname=test_db";  
$options = [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION];  
try {  
    $pdo = new PDO($dsn, "root", "", $options);  
} catch (PDOException $e) {  
    die("连接失败: " . $e->getMessage());  
}  

连接成功后,即可执行后续的数据库操作。

执行查询

查询数据库是PHP数据库指令中最常见的操作，使用mysqli或PDO的query()方法可以执行SQL查询语句，查询用户表中的所有数据：

// 使用mysqli  
$result = $conn->query("SELECT * FROM users");  
// 使用PDO  
$stmt = $pdo->query("SELECT * FROM users");  

查询结果可以通过fetch()、fetchAll()等方法获取。fetch()用于逐行获取结果，而fetchAll()则返回所有行。

// 使用mysqli获取单行数据  
$row = $result->fetch_assoc();  
// 使用PDO获取所有数据  
$users = $stmt->fetchAll(PDO::FETCH_ASSOC);  

需要注意的是，直接拼接SQL语句存在安全风险，容易受到SQL注入攻击，推荐使用预处理语句（Prepared Statements）来增强安全性。

预处理语句

预处理语句是防止SQL注入的有效手段，它通过将SQL语句和数据分开处理，确保用户输入不会被解释为SQL代码，以PDO为例，预处理语句的使用方法如下：

$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");  
$stmt->execute([  
    "name" => "John Doe",  
    "email" => "john@example.com"  
]);  

在mysqli中，预处理语句的使用方式类似：

$stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (?, ?)");  
$stmt->bind_param("ss", $name, $email);  
$name = "John Doe";  
$email = "john@example.com";  
$stmt->execute();  

预处理语句不仅能提高安全性,还能提升重复执行相同SQL语句的性能。

更新和删除数据

除了查询，PHP还支持通过数据库指令更新和删除数据，更新数据使用UPDATE语句，

// 使用PDO  
$stmt = $pdo->prepare("UPDATE users SET email = :email WHERE id = :id");  
$stmt->execute([  
    "email" => "new_email@example.com",  
    "id" => 1  
]);  

删除数据使用DELETE语句，

// 使用mysqli  
$conn->query("DELETE FROM users WHERE id = 1");  

在执行更新和删除操作时，建议使用WHERE子句明确指定条件,避免误操作影响整个表的数据。

事务管理

事务是一组SQL语句的集合，它们要么全部执行成功，要么全部回滚，在需要保证数据一致性的场景下（如银行转账），事务管理至关重要，以PDO为例，事务的使用方法如下：

try {  
    $pdo->beginTransaction();  
    $pdo->exec("UPDATE accounts SET balance = balance 100 WHERE id = 1");  
    $pdo->exec("UPDATE accounts SET balance = balance + 100 WHERE id = 2");  
    $pdo->commit();  
} catch (Exception $e) {  
    $pdo->rollBack();  
    echo "操作失败: " . $e->getMessage();  
}  

在mysqli中，事务管理通过autocommit、commit()和rollback()方法实现，事务管理确保了数据库操作的原子性,避免了部分执行导致的数据不一致问题。

关闭数据库连接

完成数据库操作后，应及时关闭连接以释放资源，在mysqli中，使用close()方法：

$conn->close();  

在PDO中，设置为null即可关闭连接：

$pdo = null;  

虽然PHP脚本结束时通常会自动关闭连接,但显式关闭连接是一种良好的编程习惯。

FAQs

如何防止SQL注入攻击？
SQL注入攻击通过恶意输入的SQL代码破坏数据库结构，预防措施包括：使用预处理语句（如PDO的prepare()和execute()方法）、限制用户输入的长度和格式、使用参数化查询而非直接拼接SQL语句，定期更新数据库和PHP版本也能减少安全漏洞的风险。

什么时候使用事务管理？
事务管理适用于需要保证数据一致性的场景，例如银行转账、订单处理等操作，在这些场景中，多个SQL语句必须作为一个整体执行，要么全部成功，要么全部失败，通过事务管理,可以避免因部分操作失败导致的数据不一致问题。