PHP 5.5起废弃mysql_*函数,7.0彻底移除;因其不支持预处理、无SQL注入防护、不兼容新认证协议且已停止维护,必须迁移到mysqli或PDO,并强制使用参数绑定防注入。
PHP 5.5 开始已废弃 mysql_* 函数,5.6 中彻底标记为 deprecated,7.0 直接移除。用 mysql_connect()、mysql_query() 这类函数在 PHP 5.5+ 运行会报 E_DEPRECATED 警告,PHP 7+ 则直接 Fatal error:Uncaught Error: Call to undefined function mysql_connect()。
为什么不能继续用 mysql_* 扩展
该扩展不支持预处理语句、无内置防 SQL 注入机制、不支持 MySQL 4.1+ 的新认证协议(如 caching_sha2_password)、线程不安全、且官方明确终止维护。即使你卡在 PHP 5.4 或 5.5,也应立即迁移——不是“能不能跑”,而是“还安不安全、靠不靠谱”。
PHP 5 兼容的替代方案只有 mysqli 和 PDO
两者均原生集成于 PHP 5.0+,无需额外安装扩展(只要编译时启用了)。选择依据不是性能,而是使用习惯和项目约束:
-
mysqli提供面向过程和面向对象两种风格,对熟悉旧mysql_*的人迁移成本最低; -
PDO支持多数据库抽象,SQL 注入防护更统一(绑定参数是强制路径),但需注意:PDO 默认不开启PDO::ATTR_EMULATE_PREPARES = false,否则仍可能绕过预处理防护; - 若项目已用
mysql_real_escape_string()手动拼 SQL,改用mysqli_real_escape_string()只是过渡,不是解法——必须转向参数绑定。
mysqli 增删改查实操要点(面向过程)
替换核心函数对照表:
-
mysql_connect()→mysqli_connect($host, $user, $pass, $db, $port)(返回连接资源,非布尔值) -
mysql_select_db()→ 已合并进mysqli_connect()第四个参数,或用mysqli_select_db($conn, $db) -
mysql_query()→ 必须带连接句柄:mysqli_query($conn, $sql) -
mysql_fetch_array()→mysqli_fetch_array($result, MYSQLI_ASSOC)(推荐显式指定模式) -
mysql_num_rows()→mysqli_num_rows($result) -
mysql_close()→mysqli_close($conn)
关键陷阱:
- 所有函数都要求第一个参数是有效连接资源,漏传或传错会返回
false并触发 warning; -
mysqli_query()对INSERT/UPDATE/DELETE返回布尔值,对SELECT才返回结果集,不能统一用mysqli_fetch_*处理; -
中文乱码?确保连接时执行
mysqli_set_charset($conn, 'utf8')(注意是utf8,不是utf8mb4,后者在 PHP 5.5+ 才稳定支持)。
/* 示例:安全的查询 + 绑定参数(需 mysqli_stmt) */
$conn = mysqli_connect('localhost', 'user', 'pass', 'db');
mysqli_set_charset($conn, 'utf8');
$stmt = mysqli_prepare($conn, "SELECT * FROM users WHERE id = ? AND status = ?");
mysqli_stmt_bind_param($stmt, "is", $id, $status);
$id = 123; $status = 'active';
mysqli_stmt_execute($stmt);
$result = mysqli_stmt_get_result($stmt);
while ($row = mysqli_fetch_assoc($result)) {
echo $row['name'];
}
如果只能最小改动,用 mysqli 封装一层兼容函数
不推荐长期使用,但可用于紧急过渡。重点不是“让旧代码跑起来”,而是“堵住 SQL 注入口”:
- 封装
mysql_query()时,必须检测 SQL 类型,SELECT才调mysqli_query(),其他操作需用mysqli_real_escape_string()+ 拼接(仅限简单场景); - 绝不能封装
mysql_fetch_array()为自动识别返回类型——mysqli_query()对写操作返回true/false,直接传给mysqli_fetch_array()会警告; - 所有封装函数必须检查
mysqli_connect()是否成功,否则后续全部失败却无提示。
真正要花时间的地方,从来不是语法替换,而是把散落在各处的字符串拼接 SQL,改成参数化查询。这个动作没法偷懒,躲不过。
