PHP中执行UPDATE语句最安全的方式是PDO::prepare()配合PDOStatement::execute(),使用占位符防止SQL注入;务必检查WHERE条件并用rowCount()确认影响行数。
PHP 中用 PDO 执行 UPDATE 语句的基本写法
直接用 PDO::prepare() + PDOStatement::execute() 是最安全、最推荐的方式。不拼接 SQL 字符串,避免 SQL 注入。
- 先写带占位符的 SQL,比如
UPDATE users SET name = ?, email = ? WHERE id = ? - 调用
prepare()得到语句对象,再用execute()传入参数数组 - 参数顺序必须和
?出现顺序一致;也可用命名占位符(如:name),更易读
$pdo = new PDO($dsn, $user, $pass);
$stmt = $pdo->prepare("UPDATE users SET name = :name, email = :email WHERE id = :id");
$stmt->execute(['name' => '张三', 'email' => 'zhang@example.com', 'id' => 123]);
WHERE 条件写错会导致全表误更新
这是生产环境最常踩的坑:漏写 WHERE,或条件字段名写错、值类型不匹配,结果整张表数据被改掉。
- 务必确认
WHERE子句中字段存在且有索引(尤其大表) - 用
SELECT COUNT(*)先验证条件命中行数,例如:SELECT COUNT(*) FROM users WHERE status = 'pending' AND created_at - 如果条件含字符串,注意引号和转义——但用预处理就不用操心这个
mysqli 面向对象方式更新数据的注意事项
用 mysqli 也推荐预处理,语法和 PDO 类似,但对象方法名不同。
-
mysqli::prepare()返回mysqli_stmt对象,不是布尔值 -
bind_param()的第一个参数是类型字符串:'s'(string)、'i'(int)、'd'(double) - 类型必须严格匹配,比如把字符串传给
'i'会导致静默失败或截断
$mysqli = new mysqli($host, $user, $pass, $db);
$stmt = $mysqli->prepare("UPDATE logs SET level = ? WHERE id > ?");
$stmt->bind_param('si', $level, $threshold);
$level = 'error';
$threshold = 1000;
$stmt->execute();
UPDATE 后怎么知道有没有真正改到数据
execute() 或 mysqli_stmt::execute() 只返回执行是否成功(true/false),不反映影响行数。要判断是否真改了数据,得查 rowCount()。
立即学习“PHP免费学习笔记(深入)”;
- PDO:调用
$stmt->rowCount(),返回 int,0 表示没匹配到行 - mysqli:调用
$stmt->affected_rows(注意是属性,不是方法) - 如果业务逻辑依赖“是否更新成功”,必须检查这个值,而不是只看 execute 是否抛异常
容易被忽略的是:即使 WHERE 条件匹配了 10 行,但如果新旧值完全一样(比如 SET status = 'active' 而原值就是 'active'),MySQL 默认不计入 affected_rows —— 这取决于 sql_mode 是否含 STRICT_TRANS_TABLES 或服务器配置。
