php PDO运行查询的方法

PHP中使用PDO查询主要依赖query()和prepare()配合execute()。1. query()适用于无参数的简单查询，直接返回结果集；2. prepare()与execute()结合用于带用户输入的场景，通过占位符防止SQL注入；3. 使用fetch()、fetchAll()、fetchColumn()等方法获取数据。涉及变量时应优先使用预处理语句以确保安全。

PHP中使用PDO运行查询主要依赖于PDO和PDOStatement对象提供的方法。最常用的方式是使用query()和prepare()配合execute()来执行SQL查询，具体选择取决于是否涉及用户输入。

1. 使用 query() 方法（适合简单、无参数的查询）

当SQL语句不包含外部输入时，可以直接使用query()方法执行查询，并返回一个可遍历的结果集。

try {
    $pdo = new PDO("mysql:host=localhost;dbname=testdb", "username", "password");
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
<pre class='brush:php;toolbar:false;'>$result = $pdo->query("SELECT id, name FROM users");

foreach ($result as $row) {
    echo $row['id'] . " - " . $row['name'] . "<br>";
}

注意：该方法不适合带有动态参数的查询，容易引发SQL注入风险。

2. 使用 prepare() 和 execute()（推荐用于带参数的查询）

对于包含用户输入的查询，应使用预处理语句（Prepared Statements），通过占位符绑定参数，提高安全性。

立即学习“PHP免费学习笔记（深入）”；

标签： php pdo mysql word sql注入 sql语句 防止sql注入 red