php里mysql_query怎么用_执行sql语句的详细操作【方法】

3次阅读

php 7.0起mysql_query函数被彻底移除,因整个mysql_*函数族自5.5.0起被弃用,存在安全与维护问题;替代方案为mysqli(过程式/面向对象)或pdo(支持预处理、跨库、事务),需注意连接显式传递、字符集设置、sql注入防护及环境兼容性。

php里mysql_query怎么用_执行sql语句的详细操作【方法】

mysql_query 已经彻底不能用了

PHP 7.0 起,mysql_query 函数被直接移除,调用会报 Fatal Error: Uncaught Error: Call to undefined function mysql_query()。这不是配置问题,也不是扩展没开——它被删了,连源码里都找不到了。

原因很简单:整个 mysql_* 函数族(包括 mysql_connectmysql_fetch_array 等)早在 PHP 5.5.0 就被标记为 deprecated,官方明确说“不安全、不支持预处理、无面向对象接口”,且底层依赖的 MySQL C API 已停止维护。

现在能用的只有两个替代方案:mysqliPDO。选哪个?看场景:

  • 只做简单查询、快速改老项目?用 mysqli 过程式写法最接近原来习惯
  • 要防 SQL 注入、跨数据库、事务控制或将来可能换数据库?必须上 PDO

mysqli_query 怎么替代 mysql_query

mysqli_query 不是“换个函数名就行”,它必须先建立连接,而且连接资源要显式传入(或使用面向对象方式)。常见错误是直接照搬旧代码,漏掉连接步骤,结果报 mysqli_query() expects parameter 1 to be mysqli, NULL given

立即学习PHP免费学习笔记(深入)”;

最简可用写法(过程式):

$conn = mysqli_connect('localhost', 'user', 'pass', 'db'); if (!$conn) {     die('连接失败: ' . mysqli_connect_error()); } $result = mysqli_query($conn, "select * FROM users WHERE id = 1"); if ($result) {     $row = mysqli_fetch_assoc($result); }

注意点:

  • mysqli_query 第一个参数是连接资源 $conn,不是主机名
  • 查询失败时返回 false,不是空结果集,务必用 if ($result) 判断
  • 执行 INSERT/UPDATE 后想取自增 ID,得用 mysqli_insert_id($conn),不是 mysql_insert_id()
  • 中文乱码?在 mysqli_connect 后立刻加 mysqli_set_charset($conn, 'utf8mb4')

PDO::query 执行 SQL 的安全写法

直接用 PDO::query 执行拼接的 SQL,和当年 mysql_query 一样危险。它不自动转义变量,遇到用户输入就容易被注入。比如 $name = $_GET['name']; $pdo->query("SELECT * FROM users WHERE name = '$name'") —— 这跟 mysql_query 写法毫无区别,只是换了个壳。

真正该用的是 PDO::prepare + execute

$stmt = $pdo->prepare("SELECT * FROM users WHERE status = ? AND created_at > ?"); $stmt->execute(['active', '2024-01-01']); $rows = $stmt->fetchAll();

为什么必须这样?

  • 问号占位符由 PDO 底层驱动处理,绕过字符串拼接,SQL 结构和数据彻底分离
  • 不需要手动调用 addslashesmysqli_real_escape_string,那些函数本身就有边界漏洞
  • PDO::query 只适合执行纯静态 SQL(比如 "CREATE table ..."),带变量一律走 prepare
  • 连接时加上 PDO::ATTR_EMULATE_PREPARES => false,强制用 MySQL 原生预处理,避免模拟模式下的边缘绕过

查不到数据?先确认这三件事

迁移到 mysqliPDO 后,常出现“SQL 在 phpMyAdmin 里能跑,代码里返回空”的情况。大概率不是语法问题,而是环境细节没对齐:

  • 检查 MySQL 用户权限:新连接默认可能没有 SELECT 权限,或只允许本地访问,而 mysqli_connect('127.0.0.1')'localhost' 在 MySQL 权限系统里是两个不同 host
  • 确认字符集:旧代码可能靠 SET NAMES utf8 临时生效,但 mysqliPDO 需在连接时指定,否则中文条件查不到、存进去也是乱码
  • 注意 SQL 模式:MySQL 8.0 默认开启 STRICT_TRANS_TABLES,旧代码里 INSERT INTO t (a) VALUES ('') 插空字符串可能被拒绝,报 Data truncated for column 'a'

这些点不解决,光改函数名只会让问题从“报错”变成“静默失败”。

发表于:后端开发
近两天内
# column# Error# for# function# if# mysql# mysqli# NULL# pdo# php# phpmyadmin# select# sql# sql语句# table# undefined# 字符串# 对象# 接口# 数据库# 面向对象
复制链接
从HTML页面安全有效地触发Python脚本:原理、限制与替代方案
PrestaShop购物车明细与运费自定义显示教程
如何在 PHP 中遍历多维数组并统计除首个 IP 外的唯一 IP 出现次数
在Gorilla Mux应用中集成HTTP超时处理器与通用中间件
text=ZqhQzanResources