PHP安全查询MySQL方法

本文深入讲解了在独立 PHP 项目中安全、规范地查询 MySQL 数据并动态渲染到网页的核心实践，直击开发者常遇的“Undefined variable $link”和“mysqli_query() 参数错误”等典型问题，系统梳理了从数据库连接、防 SQL 注入的查询执行、结果集遍历到 HTML 动态渲染及资源释放的完整闭环流程，并提供经验证的代码范例与关键细节提醒（如必须用 require 引入配置、严格遵循执行顺序、正确使用 fetch_object 或 fetch_assoc），助你一次性写出健壮、可维护、无安全隐患的数据展示逻辑。

本文详解如何在独立 PHP 项目中正确引入数据库配置、执行 SELECT 查询、遍历结果集，并将数据动态渲染到 HTML 页面中，同时避免未定义变量、SQL 注入及资源泄漏等常见错误。

在 PHP 原生开发中，将数据库查询结果正确显示在网页上，需严格遵循「连接 → 查询 → 遍历 → 渲染 → 释放」的完整流程。你遇到的 Undefined variable $link 和 mysqli_query(): Argument #1 must be of type mysqli, null given 错误，根本原因是：site.php 中未加载 config.php，导致 $link 连接变量不可见；且未对查询结果进行循环处理，直接尝试输出未定义的 $nom、$description 等变量。

✅ 正确步骤与完整代码示例

1. 确保配置文件被正确引入

在 site.php 文件最顶部（任何 HTML 或 PHP 输出之前），使用 require 引入配置：

<?php require 'config.php'; ?>

⚠️ 注意：必须使用 require（而非 include），确保配置加载失败时立即终止执行，避免后续静默错误；路径需与 config.php 实际位置一致（如在子目录中，请使用相对路径如 ../config.php）。

2. 执行查询并安全遍历结果集

将你的 HTML 模板包裹在 while 循环内，逐行提取数据。推荐使用面向对象风格的 fetch_object()（更直观）或 fetch_assoc()（返回关联数组）：

<?php
$sql = "SELECT did, nom, description FROM dish"; // 显式指定字段，避免 SELECT *
$res = mysqli_query($link, $sql);

if (!$res) {
    die("查询失败: " . mysqli_error($link));
}

// 遍历每一条记录并渲染卡片
while ($row = $res->fetch_object()) {
    // 自动映射字段为属性：$row->did, $row->nom, $row->description
    ?>
    <div class="col-md-3">
        <div class="thumbnail">
            <a href="index.php">
                <img src="img/gallery/01.jpg" class="rounded-top" alt="<?php echo htmlspecialchars($row->nom); ?>">
            </a>
            <h4 class="text-center my-3"><?php echo htmlspecialchars($row->nom); ?></h4>
            <p class="text-center"><?php echo htmlspecialchars($row->description); ?></p>
            <a href="index.php?dish_did=<?php echo (int)$row->did; ?>" 
               class="btn btn-success" role="button">Rate Now!</a>
        </div>
    </div>
    <?php
}
// ✅ 关闭结果集，释放内存
$res->close();
?>

3. 关键安全与健壮性实践

• 输出转义：所有用户数据（尤其是 $row->nom 和 $row->description）必须通过 htmlspecialchars() 输出，防止 XSS 攻击；
• ID 类型强转：URL 中的 did 使用 (int) 强制转换，杜绝恶意字符串注入；
• 显式字段声明：避免 SELECT *，明确列出所需字段（如 SELECT did, nom, description），提升可读性与性能；
• 错误检查：mysqli_query() 后添加 if (!$res) 判断，便于调试；
• 资源释放：调用 $res->close()（或 mysqli_free_result($res)），避免连接句柄泄漏。

4. 进阶建议（非强制但强烈推荐）

• 将数据库操作封装为函数或简单类（如 Database::query()），实现逻辑复用；
• 使用 PDO 替代 MySQLi（支持预处理语句、多数据库兼容、异常模式更友好）；
• 若项目持续演进，应逐步采用 MVC 架构或轻量框架（如 Slim、Laminas），实现关注点分离（Separation of Concerns）与依赖注入（Dependency Injection），从根本上提升可维护性。

通过以上调整，你的 site.php 将能稳定连接数据库、安全遍历菜品数据，并以响应式卡片形式清晰呈现——既解决当前报错，也为后续功能扩展打下坚实基础。

今天关于《PHP安全查询MySQL方法》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！