正确姿势是先建立连接再调用mysqli_query(),检查返回值是否为false,用mysqli_fetch_assoc()遍历结果集时注意指针移动和空结果处理,防注入须用prepare,大数据量避免mysqli_fetch_all。
PHP 中用 mysqli_query 执行 SELECT 语句的正确姿势
直接调用 mysqli_query() 是最常用的方式,但必须确保连接已建立且 SQL 语法无误。返回值不是数据本身,而是 mysqli_result 对象或 false —— 错误时不会抛异常,容易忽略失败。
- 连接必须用
mysqli_connect()或new mysqli()显式创建,不能跳过 - SQL 字符串里字段名、表名不加引号;字符串值必须用单引号包裹,如
'admin' - 执行后立刻检查返回值:
if ($result === false) { echo mysqli_error($conn); } - 避免拼接用户输入进 SQL,优先用
mysqli_prepare()防注入
用 mysqli_fetch_assoc 遍历结果集的注意事项
mysqli_fetch_assoc() 每次返回一行关联数组(键为字段名),连续调用会自动推进内部指针。一旦遍历结束再调用,返回 null,不是空数组。
- 循环前不要手动重置指针,除非你用过
mysqli_data_seek($result, 0) - 字段名大小写敏感,取决于 MySQL 表定义(通常小写),
$row['user_id']和$row['USER_ID']可能不同 - 如果 SELECT 包含表达式(如
COUNT(*) AS cnt),别名就是数组键名:$row['cnt'] - 空结果集下
mysqli_num_rows($result)返回 0,此时首次mysqli_fetch_assoc()就返回null
while ($row = mysqli_fetch_assoc($result)) {
echo $row['name'] . ' - ' . $row['email'] . "\n";
}PDO::query + foreach 遍历更简洁但有隐含限制
PDO::query() 返回 PDOStatement 对象,配合 foreach 可直接迭代,底层自动调用 fetch()。但默认只支持 PDO::FETCH_ASSOC,不显式设置 fetch mode 时,foreach 仍按关联数组处理。
- 必须提前设置
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC),否则foreach可能返回索引+关联混合数组 -
PDO::query()不支持参数绑定,带变量的 SQL 仍需用prepare()+execute() - 若 SQL 出错,默认静默失败(
PDO::ATTR_ERRMODE未设为PDO::ERRMODE_EXCEPTION),foreach会报“Invalid argument supplied for foreach()”
$stmt = $pdo->query("SELECT id, title FROM posts");
foreach ($stmt as $row) {
echo $row['id'] . ': ' . $row['title'] . "\n";
}一次性取全部数据用 mysqli_fetch_all 要谨慎
mysqli_fetch_all($result, MYSQLI_ASSOC) 把整个结果集转成二维数组,适合小数据量场景。但它把所有行加载进内存,大结果集容易触发 memory_limit 错误。
- 不适用于上万行以上的查询,尤其在共享主机或低配环境
- 返回的是完整数组,无法流式处理;后续修改某行不会影响原始结果集
- 若只要统计行数,用
mysqli_num_rows($result比
)count(mysqli_fetch_all(...))快得多 - 该函数 PHP 5.3+ 才支持,老系统需降级用 while 循环
)实际业务中,多数情况用 mysqli_fetch_assoc() 配合 while 最稳妥。PDO 方式写起来短,但错误处理和 fetch mode 容易漏设——这两个点,线上出问题时最难排查。
