17370845950

PHP中执行UPDATE语句最安全的方式是PDO::prepare()配合PDOStatement::execute()，使用占位符防止SQL注入；务必检查WHERE条件并用rowCount()确认影响行数。

PHP 中用 PDO 执行 UPDATE 语句的基本写法

直接用 PDO::prepare() + PDOStatement::execute() 是最安全、最推荐的方式。不拼接 SQL 字符串，避免 SQL 注入。

• 先写带占位符的 SQL，比如 UPDATE users SET name = ?, email = ? WHERE id = ?
• 调用 prepare() 得到语句对象，再用 execute() 传入参数数组
• 参数顺序必须和 ? 出现顺序一致；也可用命名占位符（如 :name），更易读

$pdo = new PDO($dsn, $user, $pass);
$stmt = $pdo->prepare("UPDATE users SET name = :name, email = :email WHERE id = :id");
$stmt->execute(['name' => '张三', 'email' => 'zhang@example.com', 'id' => 123]);

WHERE 条件写错会导致全表误更新

这是生产环境最常踩的坑：漏写 WHERE，或条件字段名写错、值类型不匹配，结果整张表数据被改掉。

• 务必确认 WHERE 子句中字段存在且有索引（尤其大表）
• 用 SELECT COUNT(*) 先验证条件命中行数，例如：SELECT COUNT(*) FROM users WHERE status = 'pending' AND created_at
• 如果条件含字符串，注意引号和转义——但用预处理就不用操心这个

mysqli 面向对象方式更新数据的注意事项

用 mysqli 也推荐预处理，语法和 PDO 类似，但对象方法名不同。

• mysqli::prepare() 返回 mysqli_stmt 对象，不是布尔值
• bind_param() 的第一个参数是类型字符串：'s'（string）、'i'（int）、'd'（double）
• 类型必须严格匹配，比如把字符串传给 'i' 会导致静默失败或截断

$mysqli = new mysqli($host, $user, $pass, $db);
$stmt = $mysqli->prepare("UPDATE logs SET level = ? WHERE id > ?");
$stmt->bind_param('si', $level, $threshold);
$level = 'error';
$threshold = 1000;
$stmt->execute();

UPDATE 后怎么知道有没有真正改到数据

execute() 或 mysqli_stmt::execute() 只返回执行是否成功（true/false），不反映影响行数。要判断是否真改了数据，得查 rowCount()。

• PDO：调用 $stmt->rowCount()，返回 int，0 表示没匹配到行
• mysqli：调用 $stmt->affected_rows（注意是属性，不是方法）
• 如果业务逻辑依赖“是否更新成功”，必须检查这个值，而不是只看 execute 是否抛异常

容易被忽略的是：即使 WHERE 条件匹配了 10 行，但如果新旧值完全一样（比如 SET status = 'active' 而原值就是 'active'），MySQL 默认不计入 affected_rows —— 这取决于 sql_mode 是否含 STRICT_TRANS_TABLES 或服务器配置。