PHP和MySQL怎么搭配用才顺手，数据库操作其实没那么难理解

PHP和MySQL这对老搭档，就像豆浆和油条，分开吃也行，但配在一起才最对味儿，很多新手觉得操作数据库很深奥，其实你把它想象成一个高级的、自动化的文件柜,就一点也不难了。

你得明白他俩是咋联系的。

PHP是那个跑腿办事的小伙子，MySQL是那个管着巨大文件柜（数据库）的管理员，PHP想要存东西或者取东西，不能直接去翻柜子，那样就乱套了，它必须先跟管理员MySQL打个招呼，建立一条“通信线路”，这就是数据库连接。

在PHP里，我们一般用PDO（PHP Data Objects）这种方式来建立连接，因为它更安全、更灵活，代码大概长这样（来源：PHP官方手册PDO部分的核心思想）：

<?php
$servername = "localhost"; // 管理员在哪？就在本机
$username = "root";        // 你的管理员工牌
$password = "your_password"; // 管理员的密码
$dbname = "my_database";   // 你要找的哪个文件柜
try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    // 设置PDO错误模式为异常，这样出错会抛异常，好抓bug
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "连接成功！通信线路建立好了。";
} catch(PDOException $e) {
    echo "连接失败: " . $e->getMessage();
}
?>

这段代码的意思就是：PHP小伙子找到了管理员MySQL，报上自己的工牌和密码，说要使用my_database这个文件柜，如果信息都对，连接就成功了,后面就能开始办事了。

连接上了，接下来就是最核心的“增删改查”。

这四件事，对应着SQL语句里的四个关键词：INSERT（增）、DELETE（删）、UPDATE（改）、SELECT（查），你不用怕,它们就是一句句给管理员听的指令。

1. 增（INSERT）：往文件柜里塞新文件。 我们有个叫users的表格（相当于文件柜里的一个抽屉，专门放用户资料）,现在要新增一个用户。

   // 假设我们已经有了连接 $conn
   $sql = "INSERT INTO users (name, email) VALUES ('张三', 'zhangsan@example.com')";
   $conn->exec($sql); // exec() 就是执行一个没有结果返回的SQL语句
   echo "新用户添加成功！";

   这句SQL翻译成人话就是：“管理员，请你在users这个抽屉里，新放一份文件，文件里‘name’这一栏写上‘张三’，‘email’这一栏写上‘zhangsan@example.com’。”

   

2. 查（SELECT）：从文件柜里找文件。 这是最常用的操作，我想把users抽屉里所有用户的名字都拿出来。

   $sql = "SELECT id, name, email FROM users";
   $result = $conn->query($sql); // query() 执行有结果返回的查询
   if ($result->rowCount() > 0) {
       // 用fetchAll() 把结果全部取出来，变成数组
       $users = $result->fetchAll(PDO::FETCH_ASSOC);
       foreach($users as $user) {
           echo "ID: " . $user['id']. " - 名字: " . $user['name']. " - 邮箱: " . $user['email']. "<br>";
       }
   } else {
       echo "0 结果";
   }

   这句SQL的意思是：“管理员，请把users抽屉里所有文件的id、name、email信息都拿给我看看。”

3. 改（UPDATE）：修改文件柜里某份文件的内容。 张三换邮箱了。

   $sql = "UPDATE users SET email='zhangsan_new@example.com' WHERE name='张三'";
   $count = $conn->exec($sql);
   echo $count . " 条记录被更新"; // 会告诉你更新了几条

   这里有个关键点：WHERE子句，它特别重要，意思是“在哪里”或者“满足什么条件”，如果没有WHERE name='张三'，管理员就会把users抽屉里所有用户的邮箱都改成新的！这可就出大事了，UPDATE和DELETE操作,一定要谨慎使用WHERE。

4. 删（DELETE）：从文件柜里扔掉一份文件。 要删除张三的记录。

   

   $sql = "DELETE FROM users WHERE name='张三'";
   $conn->exec($sql);
   echo "记录删除成功";

   同样，一定要带WHERE,不然就是清空整个抽屉！

千万要注意安全！防“SQL注入”。

这是个听起来很专业，但理解起来不难的概念，想象一下，如果有个坏蛋在你们网站的登录框里，不是输入密码，而是输入了一段恶意的“指令代码”，而你的PHP小伙子很傻，直接把用户输入的内容原封不动地拼接到SQL语句里交给管理员执行，管理员是会照做的！这可能导致数据泄露甚至被删除。

怎么防？就是不让PHP小伙子直接拼接字符串，我们要用预处理语句（也叫参数化查询），这相当于PHP小伙子在向管理员传达指令时，先把指令的框架说好，删除那个叫【变量】的人”，然后再把具体的名字（张三”）单独告诉管理员，这样，即使用户输入的是恶意代码，也只会被当作一个普通的“名字”来处理,而不会变成指令。

用PDO做预处理是这样的（来源：PDO防止SQL注入的最佳实践）：

// 要删除谁，这个值来自用户输入，$_POST['username']
$name = $_POST['username'];
// 1. 先准备一个带占位符的SQL模板
$sql = "DELETE FROM users WHERE name = :name"; // 用 :name 当占位符
// 2. 让PDO预处理这个模板
$stmt = $conn->prepare($sql);
// 3. 把真正的变量值绑定到占位符上，并执行
$stmt->execute(['name' => $name]);

你看，这样就把指令（SQL框架）和数据（用户输入）分开了,非常安全。

让PHP和MySQL搭配顺手的关键就是：先连上（PDO连接），再下令（增删改查SQL），并且下令的时候要讲究方法（用预处理防注入），多写几次，你就会发现，操作数据库其实就是一套固定的流程,真的没那么难理解。