什么是php mysql_query

# 什么是php mysql_query

## 引言

在早期的PHP开发中，`mysql_query()`函数是与MySQL数据库交互的核心工具之一。尽管现代PHP开发已转向更安全的PDO或MySQLi扩展，了解这个历史性的函数仍有助于理解PHP与数据库交互的演进过程。本文将深入探讨`mysql_query()`的定义、用法、安全问题以及替代方案。

---

## 一、mysql_query的基本概念

### 1.1 函数定义
`mysql_query()`是PHP的MySQL扩展（已弃用）中的函数，用于向MySQL服务器发送SQL查询语句：

```php
resource mysql_query ( string $query [, resource $link_identifier = NULL ] )

• 参数：
  • $query：要执行的SQL语句字符串
  • $link_identifier（可选）：数据库连接标识符
• 返回值：
  • 成功时返回结果集资源（SELECT/SHOW/DESCRIBE等）
  • 失败时返回FALSE（INSERT/UPDATE/DELETE等）

1.2 使用前提

需要先通过mysql_connect()建立连接：

$conn = mysql_connect('localhost', 'user', 'password');
mysql_select_db('database_name', $conn);

---

二、实际应用示例

2.1 查询数据（SELECT）

$result = mysql_query("SELECT * FROM users");
while ($row = mysql_fetch_array($result)) {
    echo $row['username'] . "<br>";
}

2.2 插入数据（INSERT）

$sql = "INSERT INTO products (name, price) VALUES ('Laptop', 999.99)";
if (mysql_query($sql)) {
    echo "插入成功，ID为：" . mysql_insert_id();
}

2.3 错误处理

$result = mysql_query($sql) or die('查询失败: ' . mysql_error());

---

三、关键特性分析

3.1 结果集处理

函数	作用
mysql_fetch_array	获取结果行作为关联/数字数组
mysql_fetch_assoc	仅获取关联数组
mysql_num_rows	返回结果集中的行数

3.2 受影响行数

mysql_query("DELETE FROM logs WHERE date < '2020-01-01'");
echo "删除了" . mysql_affected_rows() . "条记录";

---

四、安全问题与缺陷

4.1 SQL注入风险

// 危险示例（直接拼接用户输入）
$user_input = $_GET['id'];
$sql = "SELECT * FROM users WHERE id = $user_input"; 

解决方案：应使用mysql_real_escape_string()：

$safe_input = mysql_real_escape_string($_GET['id']);
$sql = "SELECT * FROM users WHERE id = '$safe_input'";

4.2 已弃用状态

自PHP 5.5.0起： - mysql_*函数被标记为弃用 - PHP 7.0+ 已完全移除该扩展

---

五、现代替代方案

5.1 MySQLi扩展

$mysqli = new mysqli("localhost", "user", "password", "database");
$result = $mysqli->query("SELECT * FROM products");
while ($row = $result->fetch_assoc()) {
    // 处理数据
}

5.2 PDO（推荐）

$pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'pass');
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(['email' => $user_email]);

优势对比：

特性	mysql_query	MySQLi	PDO
预处理语句	❌ 不支持	✅ 支持	✅ 支持
事务支持	❌	✅	✅
多数据库支持	❌	❌	✅

---

六、迁移指南

6.1 代码转换示例

旧代码：

$result = mysql_query("SELECT * FROM posts WHERE id = " . mysql_real_escape_string($id));

新代码（PDO）：

$stmt = $pdo->prepare("SELECT * FROM posts WHERE id = ?");
$stmt->execute([$id]);

6.2 兼容性层

对于无法立即重写的系统，可临时使用：

if (!function_exists('mysql_query')) {
    function mysql_query($sql) {
        global $pdo;
        return $pdo->query($sql);
    }
}

---

七、总结

历史意义

mysql_query()作为PHP早期与MySQL交互的主要方式： - 简单易用的API设计 - 推动了PHP在Web开发中的普及

现代开发建议

1. 新项目应使用PDO或MySQLi
2. 旧项目应制定迁移计划
3. 始终使用预处理语句防止SQL注入

注意：虽然了解历史API有必要，但在生产环境中使用已弃用的函数会带来安全和维护风险。建议开发者尽快升级到现代数据库访问方式。

---

扩展阅读

• PHP官方迁移指南
• OWASP SQL注入防护
• PDO预处理语句详解

”`