本文介绍使用 pdo 操作 sqlite3 时,如何安全、高效地检查某 ip 是否存在于封禁表中,重点解决 `rowcount()` 在 `select *` 场景下不可靠的问题,并推荐采用参数化查询与 `count(*)` 的最佳实践。
在基于 SQLite3 的轻量级 PHP 应用(如访问控制、黑名单校验)中,常需快速判断某个 IP 地址是否已被列入 blockedUsers 表。初学者容易写出如下代码:
function isBlocked($ip) { global $pdo; $check = $pdo->prepare("SELECT * FROM blockedUsers WHERE ip='".$ip."'"); $check->execute(); if ($check->rowCount() >= 1) { return true; } else { return false; } }⚠️ 该写法存在两大严重问题:
- SQL 注入风险:直接拼接 $ip 变量,攻击者可通过构造恶意 IP(如 ‘ OR ‘1’=’1)绕过校验甚至拖库;
- rowCount() 行为不确定性:PDO 对 SQLite3 的 SELECT 语句不保证 rowCount() 返回准确值(尤其在未调用 fetch() 前),部分驱动可能始终返回 0 或 -1,导致逻辑失效。
✅ 正确做法是「只查数量,不取数据」+「参数化绑定」:
function isBlocked($ip) { global $pdo; $stmt = $pdo->prepare("SELECT COUNT(*) AS count FROM blockedUsers WHERE ip = :ip"); $stmt->execute([':ip' => $ip]); $result = $stmt->fetch(PDO::FETCH_ASSOC); return (int)$result['count'] > 0; }该方案优势显著:
- ✅ 安全可靠::ip 占位符由 PDO 自动转义,彻底杜绝 SQL 注入;
- ✅ 性能更优:COUNT(*) 无需加载实际行数据,数据库仅返回一个整数,IO 和内存开销极小;
- ✅ 语义清晰:明确表达“只需计数”的意图,符合单一职责原则;
- ✅ 跨驱动兼容:COUNT(*) + fetch() 组合在所有 PDO 支持的数据库(SQLite3/mysql/postgresql)中行为一致。
? 额外建议:
- 为 ip 字段添加索引可大幅提升查询效率:
CREATE INDEX idx_blocked_ip ON blockedUsers(ip); - 若需支持 CIDR 网段匹配(如封禁 192.168.1.0/24),应改用 INET_ATON(MySQL)或自定义函数(SQLite3 需扩展),但基础 IP 精确匹配场景下,上述方案已足够健壮高效。
综上,避免对 SELECT * 依赖 rowCount() 判断存在性,坚持使用 COUNT(*) 配合参数化查询,是保障安全性与稳定性的关键实践。