PHP连接MySQL推荐使用mysqli扩展,因其支持预处理语句、提供面向对象和过程两种接口、具备更高安全性和性能,且兼容MySQL新特性,而旧的mysql扩展已被废弃。
好的,PHP要连接MySQL数据库,现在主流且推荐的方式就是用
mysqli
扩展。它比老旧的
mysql
扩展更安全、功能也更强,而且提供了两种编程接口,用起来挺灵活的。
说实话,每次讲到PHP连接数据库,我脑子里首先浮现的就是
mysqli
。它确实是现在最稳妥、最推荐的选择。你可以用两种方式来操作它:面向对象或者面向过程。我个人更倾向于面向对象,感觉代码更清晰一些,但面向过程也完全没问题,看个人习惯。
面向对象方式连接:
<?php $servername = "localhost"; // 数据库服务器地址,通常是localhost $username = "your_username"; // 数据库用户名 $password = "your_password"; // 数据库密码 $dbname = "your_database"; // 要连接的数据库名 $port = 3306; // MySQL默认端口,如果不是可以修改 // 创建连接 $conn = new mysqli($servername, $username, $password, $dbname, $port); // 检查连接是否成功 if ($conn->connect_error) { // 这里我通常会选择记录日志而不是直接die, // 生产环境直接die会暴露太多信息,不够安全。 error_log("数据库连接失败: " . $conn->connect_error); // 记录到服务器错误日志 die("抱歉,系统繁忙,请稍后再试。"); // 给用户一个友好的提示 } echo "数据库连接成功(面向对象方式)!<br>"; // 接下来就可以执行SQL查询了,例如: /* $sql = "SELECT id, firstname, lastname FROM MyGuests"; $result = $conn->query($sql); if ($result->num_rows > 0) { while($row = $result->fetch_assoc()) { echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>"; } } else { echo "0 结果"; } */ // 关闭连接,这是个好习惯,用完就关。 $conn->close(); ?>
面向过程方式连接:
立即学习“PHP免费学习笔记(深入)”;
<?php $servername = "localhost"; $username = "your_username"; $password = "your_password"; $dbname = "your_database"; $port = 3306; // 创建连接 $conn = mysqli_connect($servername, $username, $password, $dbname, $port); // 检查连接 if (!$conn) { // 同样,这里处理错误的方式很重要,别直接把错误信息抛给用户。 error_log("数据库连接失败: " . mysqli_connect_error()); die("抱歉,系统繁忙,请稍后再试。"); } echo "数据库连接成功(面向过程方式)!<br>"; // 执行查询示例,例如: /* $sql = "SELECT id, firstname, lastname FROM MyGuests"; $result = mysqli_query($conn, $sql); if (mysqli_num_rows($result) > 0) { while($row = mysqli_fetch_assoc($result)) { echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>"; } } else { echo "0 结果"; } */ // 关闭连接 mysqli_close($conn); ?>
为什么现在PHP推荐使用
mysqli
mysqli
而不是
mysql
扩展?
嗯,这个问题其实挺关键的,也是我刚开始学PHP连接数据库时的一个疑惑。简单来说,
mysql
扩展早就被废弃了,甚至在PHP 7.0版本里直接移除了。这意味着你如果还在用它,代码根本跑不起来。
那么,为什么会这样呢?最主要的原因就是安全性和功能性。
- 安全性:
mysqli
支持预处理语句(Prepared Statements),这玩意儿对防止SQL注入攻击简直是神器。你把SQL语句和数据分开处理,数据库在执行前会先“编译”SQL模板,然后再把数据绑定进去,这样恶意代码就没法混进SQL结构里了。而老旧的
mysql
扩展在这方面就弱很多,需要开发者手动去做好各种转义,一不小心就容易出问题。
- 性能:
mysqli
在性能上也有优化,尤其是在处理大量数据或频繁连接时,它的效率更高。它支持长连接、事务等高级特性,这些都是
mysql
扩展所不具备的。
- 新特性支持:随着MySQL数据库本身的不断发展,很多新功能和数据类型只有
mysqli
才能良好支持。如果你想用最新的MySQL特性,那
mysqli
是唯一的选择。
- 面向对象和面向过程双重接口:
mysqli
提供了两种风格的API,无论是习惯面向对象的开发者,还是喜欢面向过程的,都能找到舒适的编程方式。这种灵活性也让它更受欢迎。
所以,从长远来看,无论是项目的健壮性、安全性还是未来的可维护性,
mysqli
都是毋庸置疑的首选。别再留恋老旧的
mysql
了,那真的已经是历史的尘埃了。
如何处理
mysqli
mysqli
连接中的常见错误和异常?
在实际开发中,连接数据库失败是常有的事,可能是数据库没启动,可能是配置错了,也可能是网络问题。所以,妥善处理这些错误,让你的应用不至于直接“崩掉”,而是能给用户一个友好的提示,这非常重要。
前面在连接代码里,我们已经看到了最基本的错误检查:
- 面向对象:
$conn->connect_error
和
$conn->connect_errno
- 面向过程:
mysqli_connect_error()
和
mysqli_connect_errno()
这些会告诉你连接失败的具体原因和错误码。
我的处理哲学是:
- 绝不把原始错误信息直接抛给用户:想象一下,用户看到一堆数据库连接失败的英文或数字错误码,他们会一头雾水,而且这些信息可能会暴露你的数据库结构、用户名等敏感信息,给攻击者可乘之机。所以,
die("连接失败: " . $conn->connect_error);这种写法在生产环境要慎用。
- 记录日志:最好的做法是把详细的错误信息(包括时间、IP、错误内容等)记录到服务器的日志文件里。这样,当用户报告问题时,你可以根据日志快速定位并解决。PHP的
error_log()
函数就能很好地完成这个任务。
- 给用户友好的提示:当连接失败时,给用户显示一个类似“系统繁忙,请稍后再试”或者“数据库连接异常,请联系管理员”的通用提示页面。
- 使用
try-catch
块(针对更复杂的错误处理)
:虽然mysqli
连接本身的错误通常是致命的,但如果你在执行查询等操作时想更精细地控制异常,可以考虑结合PHP的异常处理机制。例如,可以自定义一个异常处理器,将
mysqli
的错误转换为自定义异常抛出。
<?php // 示例:更安全的错误处理 $servername = "localhost"; $username = "wrong_user"; // 故意写错用户名 $password = "wrong_pass"; $dbname = "your_database"; try { // mysqli的连接错误通常是PHP的警告或致命错误,默认不会被try-catch捕获 // 但我们可以通过检查connect_error来模拟抛出异常 $conn = new mysqli($servername, $username, $password, $dbname); if ($conn->connect_error) { throw new Exception("数据库连接失败: " . $conn->connect_error, $conn->connect_errno); } echo "数据库连接成功!"; // ... 执行其他数据库操作 ... $conn->close(); } catch (Exception $e) { // 捕获我们自己抛出的异常,或者其他代码中抛出的异常 error_log("捕获到数据库连接或操作异常: " . $e->getMessage() . " (Code: " . $e->getCode() . ")", 0); // 重定向到通用错误页面,或者显示友好的错误信息 header('Location: /error_page.php?code=db_error'); exit(); } ?>
当然,上面的
try-catch
对于
connect_error
这种致命错误可能不会直接捕获,它更多是针对后续的查询等操作。但核心思想是:错误要处理,信息要隐藏,日志要记录。
如何确保
mysqli
mysqli
连接的安全性?
聊到数据库连接,安全性绝对是重中之重,一个不小心就可能让整个系统面临巨大风险。除了前面提到的不暴露错误信息,还有几个方面是我们需要特别注意的:
- 使用预处理语句(Prepared Statements):这真的是老生常谈,但重要性不言而喻。它能有效防止SQL注入。任何来自用户输入的数据,无论是查询参数、插入值还是更新条件,都必须通过预处理语句来绑定,而不是直接拼接到SQL字符串里。
<?php // 假设 $
php mysql word 处理器 端口 sql注入 sql语句 防止sql注入 网络问题 为什么 red php sql mysql 数据类型 面向对象 die try catch mysqli 字符串 接口 堆 对象 数据库