php动态建表前必须检查权限、表名合法性、字段名是否为保留字;create table不支持pdo预处理;需校验mysql版本及字符集兼容性。
PHP 动态建表前必须检查的三件事
直接拼 SQL 执行 CREATE TABLE 很危险,不是语法对了就能跑通。最常踩的坑是:权限不够、表名含非法字符、字段定义里用了保留字却没加反引号。
- 权限检查:确保数据库用户有
CREATE权限(不只是select/INSERT),否则报错Error 1142 (42000): CREATE command denied to user - 表名过滤:不能直接用用户输入拼表名,必须白名单校验或正则限制(如只允许
/^[a-zA-Z_][a-zA-Z0-9_]*$/),否则可能注入或创建非法名(如user; DROP TABLE users) - 字段名兜底:哪怕字段名来自可信配置,也建议统一用反引号包裹,比如
`status`而非status,避免撞上 MySQL 保留字(order、group、key等)
用 PDO 预处理?不,CREATE TABLE 不支持参数化
PDO 的 prepare() 对 DDL 语句基本无效——MySQL 不允许在 CREATE TABLE 中使用占位符。所谓“预处理”只是字符串拼接加转义,本质还是手动构造 SQL。
- 别写
$pdo->prepare("CREATE TABLE ? (...)"),会直接报错SQLSTATE[HY000]: General error - 真正安全的做法是:先校验表名/字段名合法性(正则 + 白名单),再用
sprintf()或字符串插值拼 SQL,最后用$pdo->exec()执行 - 示例片段:
if (!preg_match('/^[a-zA-Z_][a-zA-Z0-9_]*$/', $table_name)) { throw new InvalidArgumentException('Invalid table name'); } $sql = sprintf('CREATE TABLE `%s` (`id` INT AUTO_INCREMENT PRIMARY KEY, `name` VARCHAR(255))', $table_name); $pdo->exec($sql);
条件建表:先查 INFORMATION_SCHEMA,别依赖 IF NOT EXISTS
CREATE TABLE IF NOT EXISTS 能防重复建表,但没法做复杂条件判断(比如“只有当某张表字段数小于 3 时才建新表”)。真要按条件建,得先查元数据。
- 查表是否存在:
SELECT 1 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA = database() AND TABLE_NAME = 'xxx' - 查字段数量:
SELECT count(*) FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME = 'xxx' - 注意
INFORMATION_SCHEMA查询本身需要SELECT权限,某些生产环境会禁用,此时只能捕获Table 'xxx' doesn't exist错误再分支处理
字段类型动态生成时的兼容性陷阱
不同 MySQL 版本对类型写法容忍度不同,比如 TINYINT(1) 在 8.0+ 默认映射布尔,但老版本只是整数;json 类型在 5.7 才引入,低版本会直接报错。
立即学习“PHP免费学习笔记(深入)”;
- 别硬写
JSON字段,先查SELECT VERSION(),低于5.7改用TEXT+ 应用层校验 -
VARCHAR长度别盲目设255,MySQL 5.6 及以下对utf8mb4编码下最大有效长度是191(索引限制),超长会导致建表失败 - 时间字段优先用
timestamp或DATETIME,别用INT存时间戳——看似灵活,实则丢失时区信息且无法用 MySQL 时间函数
实际写的时候,最麻烦的从来不是语法,而是你永远不知道目标库的版本、权限、字符集、SQL mode 是什么。宁可多查一次 SELECT VERSION(), @@sql_mode,也别假设环境干净。