本文介绍如何使用 php 原生 pdo 预处理语句,结合 `where in` 语法,安全、高效地批量删除 mysql 中的多条记录,避免 n+1 查询与 sql 注入风险。
在实际开发中,前端(如 React)常通过表单提交多个主键(例如 SKU)进行批量操作。若沿用单条 DELETE ... WHERE product_sku = ? 循环执行,不仅性能低下(每次请求触发一次数据库往返),还易因事务缺失或异常中断导致部分删除成功、部分失败,破坏数据一致性。
正确的做法是:将多个 SKU 合并为一个 WHERE IN (...) 条件,并配合动态占位符实现安全预处理。由于 PDO 不支持直接绑定数组到 IN 子句,需手动构建对应数量的参数占位符(如 :sku1, :sku2, :sku3),再逐一绑定。
以下是优化后的完整实现:
// ✅ 安全高效的批量删除方法(支持任意数量 SKU)
public function deleteProducts(array $skus): bool
{
if (empty($skus)) {
return false;
}
// 去重并过滤空值,确保数据洁净
$skus =
array_filter(array_map('trim', $skus));
if (empty($skus)) {
return false;
}
// 动态生成占位符,如 :sku0, :sku1, :sku2...
$placeholders = str_repeat('?,', count($skus) - 1) . '?';
$sql = "DELETE FROM products WHERE product_sku IN ($placeholders)";
try {
$stmt = $this->db->prepare($sql);
// 使用 array_values() 重置键名,确保按顺序绑定
$stmt->execute(array_values($skus));
return $stmt->rowCount() > 0;
} catch (\PDOException $e) {
error_log("Batch delete failed: " . $e->getMessage());
throw new \RuntimeException("Database error during batch deletion", 500);
}
}
array_filter(array_map('trim', $skus));
if (empty($skus)) {
return false;
}
// 动态生成占位符,如 :sku0, :sku1, :sku2...
$placeholders = str_repeat('?,', count($skus) - 1) . '?';
$sql = "DELETE FROM products WHERE product_sku IN ($placeholders)";
try {
$stmt = $this->db->prepare($sql);
// 使用 array_values() 重置键名,确保按顺序绑定
$stmt->execute(array_values($skus));
return $stmt->rowCount() > 0;
} catch (\PDOException $e) {
error_log("Batch delete failed: " . $e->getMessage());
throw new \RuntimeException("Database error during batch deletion", 500);
}
}在 API 入口处接收并调用该方法:
立即学习“PHP免费学习笔记(深入)”;
$response = [];
// 支持两种常见提交格式:
// 1. 多个同名字段( ×2)→ $_POST['sku'] 为数组
// 2. JSON 格式(React 推荐)→ 需先 json_decode(file_get_contents('php://input'))
$rawSkus = $_POST['sku'] ?? null;
if (is_string($rawSkus)) {
// 若为 JSON 字符串(如前端 fetch({body: JSON.stringify({sku: [...]})}))
$skus = json_decode($rawSkus, true)['sku'] ?? [];
} else {
$skus = is_array($rawSkus) ? $rawSkus : [];
}
if (empty($skus)) {
http_response_code(499);
echo json_encode(['error' => 'Required parameter "sku" missing or empty']);
exit;
}
try {
$result = $api->deleteProducts($skus);
if ($result) {
http_response_code(200);
echo json_encode(['success' => true, 'deleted_count' => count($skus)]);
} else {
http_response_code(404);
echo json_encode(['error' => 'No matching products found for deletion']);
}
} catch (\RuntimeException $e) {
http_response_code(500);
echo json_encode(['error' => $e->getMessage()]);
}⚠️ 关键注意事项:
- 绝不拼接 SQL 字符串:避免 IN ('" . implode("','", $skus) . "') —— 此方式极易引发 SQL 注入;
- 限制最大批量数:MySQL 默认 max_allowed_packet 和 IN 子句长度有限制,建议单次不超过 1000 个 SKU,超量时应分批处理;
- 事务增强可靠性(可选):对强一致性要求场景,可在 prepare() 前开启事务,execute() 后根据结果 commit() 或 rollback();
- 前端配合:React 提交时推荐使用 application/json Content-Type 并 JSON.stringify({sku: ['DVD0004','DVD0005']}),语义更清晰且规避 HTML 表单多值解析歧义。
通过上述方案,你既能显著提升删除性能(单次查询替代多次查询),又能完全继承预处理语句的安全保障,是无框架 PHP 开发中批量操作的推荐实践。
