PHP5与PHP7查询语句区别详解

本文深入剖析了PHP5与PHP7在数据库查询层面的关键兼容性差异，直击MySQL扩展彻底移除、mysql_*函数完全消失、mysqli结果判断陷阱及SQL注入防护误区等核心痛点，强调必须摒弃拼接SQL和转义函数等陈旧做法，坚定采用PDO预处理这一跨版本最安全、最稳定的方案——它不仅在PHP5.3+至PHP7.x全系列无缝运行，更能从根本上杜绝SQL注入风险，推动代码向更健壮、可维护、安全的方向演进。

mysql_* 函数在 PHP7 中已彻底移除

PHP7 完全删除了 mysql_connect、mysql_query、mysql_fetch_array 等所有以 mysql_* 开头的函数。不是弃用（deprecated），是直接不存在——调用会触发 Fatal error: Uncaught Error: Call to undefined function mysql_connect()。

这些函数早在 PHP5.5.0 就被标记为 deprecated，PHP5.6 仍可运行但会报 E_DEPRECATED 警告；PHP7.0 起连加载扩展都不支持（extension=php_mysql.dll 在 php.ini 中无效）。

• 别试图通过降级 PHP 版本或启用旧扩展来“兼容”，这是安全与维护上的倒退
• 若代码里还大量存在 mysql_*，必须重写，没有中间路线
• 迁移首选 PDO（更安全、支持预处理、跨数据库友好），次选 mysqli（面向过程或面向对象均可）

mysqli_query() 的返回值在 PHP5 和 PHP7 行为一致但需注意类型判断

mysqli_query() 在 PHP5.4+ 与 PHP7.x 中行为基本一致：成功执行 SELECT 返回 mysqli_result 对象，执行 INSERT/UPDATE/DELETE 返回 true 或 false；失败统一返回 false。

常见误写是直接用 if ($result) 判断 SELECT 结果是否“有数据”：

$result = mysqli_query($conn, "SELECT id FROM users WHERE status=1");
if ($result) { // ❌ 错！$result 总是对象（非 false），即使没查到任何行
    while ($row = mysqli_fetch_assoc($result)) { ... }
}

正确做法是先确认查询本身是否成功，再检查结果集行数：

• 执行前确保 $conn 有效（mysqli_connect_errno()）
• 对 SELECT：用 is_object($result) && $result->num_rows > 0 或直接遍历（空结果集时 fetch 返回 null）
• 对写操作：用 mysqli_affected_rows($conn) >= 0 判断是否执行成功，而非仅看 $result === true

PDO 预处理语句写法在 PHP5.3+ 和 PHP7 全面兼容

PDO 是目前最稳妥的跨版本方案，只要 PHP ≥ 5.3（且启用了 pdo_mysql 扩展），同一段预处理代码在 PHP5.6 和 PHP7.4 上都能正常运行。

关键点在于参数绑定和错误模式设置：

• 务必设置 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION，否则错误静默失败
• 使用 bindValue() 或 bindParam()，避免拼接 SQL 字符串
• 不要依赖 PDO::lastInsertId() 在无自增主键时的行为（PHP5 和 PHP7 均返回空字符串，不是 0）

示例（安全且兼容）：

$pdo = new PDO("mysql:host=localhost;dbname=test", $user, $pass, [
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
]);
$stmt = $pdo->prepare("SELECT * FROM users WHERE status = ? AND created_at > ?");
$stmt->execute([1, '2023-01-01']);
$rows = $stmt->fetchAll();

mysql_real_escape_string() 这类函数不能简单替换成 mysqli_real_escape_string()

mysql_real_escape_string() 依赖一个已建立的 MySQL 连接资源（mysql_connect() 返回值），而 mysqli_real_escape_string() 必须传入 mysqli 连接对象 —— 二者参数签名不兼容，无法“全局替换”。

更严重的是：这类函数只防单字节编码注入，对多字节编码（如宽字节注入）防护不足，且无法防止逻辑型 SQL 注入（如 1 OR 1=1）。PHP5 时代就该淘汰它。

• 如果还在用 mysql_real_escape_string() 拼接 SQL，请立刻停用
• 不要改写成 mysqli_real_escape_string($conn, $_GET['id']) 并继续拼接 —— 这只是把一个坏习惯升级成另一个坏习惯
• 真正兼容又安全的做法：统一迁移到预处理（PDO 或 mysqli_prepare + bind_param）

低版本兼容不是靠修修补补维持旧范式，而是借机清理掉那些本就不该存在的脆弱写法。越晚动刀，重构成本越高，风险越隐蔽。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《PHP5与PHP7查询语句区别详解》文章吧，也可关注golang学习网公众号了解相关技术文章。