我觉得上面的答案很冗长，所以总结一下：

mysqli扩展有许多优势，关键增强mysql扩展名为：面向对象的接口对已编制报表的支持支持多个语句交易支持增强的调试功能嵌入式服务器支持

来源：MySQLi概述

---

正如上面的答案所解释的，mysql的替代品是mysqli和PDO（PHP数据对象）。

API支持服务器端Prepared Statements：由MYSQLi和PDO支持API支持客户端Prepared Statements：仅PDO支持API支持存储过程：MySQLi和PDOAPI支持多语句和所有MySQL 4.1+功能-由MySQLi支持，大部分也由PDO支持

MySQLi和PDO都是在PHP 5.0中引入的，而MySQL是在PHP 3.0之前引入的。需要注意的一点是，MySQL包含在PHP5.x中，但在以后的版本中已被弃用。

首先，让我们从我们给每个人的标准评论开始：

请不要在新代码中使用mysql_*函数。它们不再被维护，并被正式弃用。看到红盒子了吗？学习准备好的语句，并使用PDO或MySQLi-本文将帮助您决定使用哪一种。如果你选择PDO，这里有一个很好的教程。

让我们一句一句地来解释一下：

它们不再被维护，并被正式弃用这意味着PHP社区正在逐渐放弃对这些非常古老的函数的支持。它们很可能在未来（最近）版本的PHP中不存在！在不久的将来，继续使用这些函数可能会破坏代码。新！-ext/mysql从PHP 5.5开始正式被弃用！更新！ext/mysql已在PHP7中删除。相反，你应该学习准备好的陈述mysql_*扩展不支持准备好的语句，这是针对SQL注入的一种非常有效的对策。它修复了依赖MySQL的应用程序中的一个非常严重的漏洞，该漏洞允许攻击者访问您的脚本并对您的数据库执行任何可能的查询。有关更多信息，请参阅如何防止PHP中的SQL注入？看到红盒子了吗？当您转到任何mysql函数手册页面时，都会看到一个红色框，说明不应该再使用它。使用PDO或MySQLi有更好、更健壮和构建良好的替代方案，PDO-PHP数据库对象，它为数据库交互提供了完整的OOP方法，以及MySQLi，它是MySQL特有的改进。

PHP提供了三种不同的API来连接MySQL。这些是mysql（自PHP7起删除）、mysqli和PDO扩展。

mysql_*函数曾经非常流行，但现在已经不鼓励使用了。文档团队正在讨论数据库安全情况，教育用户远离常用的ext/mysql扩展也是其中的一部分（请检查php.internals：弃用ext/mysql）。

后来的PHP开发团队决定在用户连接到MySQL时生成E_DEPRECATED错误，无论是通过MySQL_connect（）、MySQL_pconnect（）还是ext/MySQL内置的隐式连接功能。

ext/mysql从PHP 5.5开始被正式弃用，从PHP 7开始被删除。

看到红盒子了吗？

当您进入任何mysql_*函数手册页面时，都会看到一个红色框，说明它不应该再使用。

Why

---

离开ext/mysql不仅仅是为了安全性，还为了能够访问mysql数据库的所有特性。

ext/mysql是为MySQL3.23构建的，从那时起只添加了很少的内容，但大部分都保持了与这个旧版本的兼容性，这使得代码有点难以维护。ext/mysql不支持的缺失功能包括：（来自PHP手册）。

存储过程（无法处理多个结果集）编制的报表加密（SSL）压缩完整字符集支持

不使用mysql_*函数的原因：

未积极开发自PHP 7起删除缺少OO接口不支持非阻塞异步查询不支持准备好的语句或参数化查询不支持存储过程不支持多个语句不支持事务不支持MySQL 5.1中的所有功能

以上引用了昆汀的回答

缺少对准备好的语句的支持尤为重要，因为与使用单独的函数调用手动转义外部数据相比，它们提供了一种更清晰、更不易出错的转义和引用外部数据的方法。

请参阅SQL扩展的比较。

---

取消弃用警告

当代码转换为MySQLi/PDO时，通过在php.ini中设置error_reporting以排除E_DEPRECATED，可以抑制E_DEPRECATE错误：

error_reporting = E_ALL ^ E_DEPRECATED

注意，这也会隐藏其他弃用警告，但是，这些警告可能针对MySQL以外的其他内容。（摘自PHP手册）

文章PDO与MySQLi：你应该使用哪一个？Dejan Marjanovic将帮助您选择。

更好的方法是PDO，我现在正在编写一个简单的PDO教程。

---

简单简短的PDO教程

---

问：我脑海中的第一个问题是：什么是“PDO”？

答：“PDO——PHP数据对象——是一个数据库访问层，提供了对多个数据库的统一访问方法。”

---

连接到MySQL

使用mysql_*函数，或者我们可以用旧方法（在PHP 5.5及以上版本中已弃用）

$link = mysql_connect('localhost', 'user', 'pass');
mysql_select_db('testdb', $link);
mysql_set_charset('UTF-8', $link);

使用PDO：您需要做的就是创建一个新的PDO对象。构造函数接受用于指定数据库源的参数。PDO的构造函数主要接受四个参数，即DSN（数据源名称）和可选的用户名和密码。

在这里，我认为您对除DSN之外的所有内容都很熟悉；这在PDO中是新的。DSN基本上是一系列选项，它们告诉PDO要使用哪个驱动程序以及连接详细信息。有关进一步参考，请检查PDO MySQL DSN。

$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');

注意：您也可以使用charset=UTF-8，但有时会导致错误，所以最好使用utf8。

如果有任何连接错误，它将抛出一个PDOException对象，该对象可以被捕获以进一步处理Exception。

良好阅读：连接和连接管理¶

还可以将多个驱动程序选项作为数组传递给第四个参数。我建议传递将PDO置于异常模式的参数。因为一些PDO驱动程序不支持本机准备语句，所以PDO执行准备的模拟。它还允许您手动启用此仿真。要使用本机服务器端准备的语句，应显式将其设置为false。

另一种方法是关闭MySQL驱动程序中默认启用的准备模拟，但应关闭准备模拟以安全地使用PDO。

稍后我将解释为什么要关闭准备模拟。要找到原因，请查看此帖子。

只有当您使用的是我不建议使用的旧版本MySQL时，它才可用。

下面是一个如何做到的示例：

$db = new PDO('mysql:host=localhost;dbname=testdb;charset=UTF-8', 
              'username', 
              'password',
              array(PDO::ATTR_EMULATE_PREPARES => false,
              PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));

我们可以在PDO构建之后设置属性吗？

是的，我们也可以使用setAttribute方法在PDO构造后设置一些属性：

$db = new PDO('mysql:host=localhost;dbname=testdb;charset=UTF-8', 
              'username', 
              'password');
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

错误处理

---

PDO中的错误处理比mysql_*容易得多。

使用mysql_*时的一个常见做法是：

//Connected to MySQL
$result = mysql_query("SELECT * FROM table", $link) or die(mysql_error($link));

OR die（）不是处理错误的好方法，因为我们无法处理die中的事情。它只会突然结束脚本，然后将错误反映到屏幕上，而您通常不想向最终用户显示该错误，并让血腥的黑客发现您的模式。或者，mysql_*函数的返回值通常可以与mysql_error（）结合使用来处理错误。

PDO提供了更好的解决方案：异常。我们用PDO做的任何事情都应该封装在try-catch块中。通过设置错误模式属性，我们可以强制PDO进入三种错误模式之一。以下是三种错误处理模式。

PDO:：ERRMODE_SILENT。它只是设置错误代码，其行为与mysql_*几乎相同，您必须检查每个结果，然后查看$db->errorInfo（）；以获取错误详细信息。PDO：：ERRMODE_WARNING引发E_WARNING。（运行时警告（非致命错误）。脚本的执行不会停止。）PDO:：ERRMODE_EXCEPTION:引发异常。它表示PDO引发的错误。您不应该从自己的代码中抛出PDOException。有关PHP中异常的更多信息，请参阅异常。它的行为非常像或死（mysql_error（））；，当它没有被抓住时。但与or die（）不同，如果您选择这样做，PDOException可以被捕获并优雅地处理。

读起来不错：

错误和错误处理¶PDOException类¶例外¶

喜欢：

$stmt->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_SILENT );
$stmt->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING );
$stmt->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

您可以将其包装在try-catch中，如下所示：

try {
    //Connect as appropriate as above
    $db->query('hi'); //Invalid query!
} 
catch (PDOException $ex) {
    echo "An Error occured!"; //User friendly message/message you want to show to user
    some_logging_function($ex->getMessage());
}

你现在不必处理try-catch。您可以在任何合适的时间捕捉它，但我强烈建议您使用try-catch。此外，在调用PDO内容的函数外部捕获它可能更有意义：

function data_fun($db) {
    $stmt = $db->query("SELECT * FROM table");
    return $stmt->fetchAll(PDO::FETCH_ASSOC);
}

//Then later
try {
    data_fun($db);
}
catch(PDOException $ex) {
    //Here you can handle error and show message/perform action you want.
}

此外，您可以处理by或die（），或者我们可以说像mysql_*，但它会非常多样化。通过关闭display_errors并读取错误日志，可以在生产中隐藏危险的错误消息。

现在，在阅读了以上所有内容之后，您可能会想：当我只想开始学习简单的SELECT、INSERT、UPDATE或DELETE语句时，这到底是什么？别担心，我们来了：

---

选择数据

因此，您在mysql_*中所做的是：

<?php
$result = mysql_query('SELECT * from table') or die(mysql_error());

$num_rows = mysql_num_rows($result);

while($row = mysql_fetch_assoc($result)) {
    echo $row['field1'];
}

现在在PDO中，您可以这样做：

<?php
$stmt = $db->query('SELECT * FROM table');

while($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
    echo $row['field1'];
}

Or

<?php
$stmt = $db->query('SELECT * FROM table');
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);

//Use $results

注意：如果使用下面的方法（query（）），此方法将返回PDOStatement对象。因此，如果您想获取结果，请像上面那样使用它。

<?php
foreach($db->query('SELECT * FROM table') as $row) {
    echo $row['field1'];
}

在PDOData中，它是通过->fetch（）获得的，这是一个语句句柄的方法。在调用fetch之前，最好的方法是告诉PDO您希望如何获取数据。在下面的部分中，我将对此进行解释。

提取模式

注意在上面的FETCH（）和fetchAll（）代码中使用了PDO:：FETCH_ASSOC。这告诉PDO以关联数组的形式返回行，字段名作为键。还有许多其他提取模式，我将逐一解释。

首先，我解释如何选择提取模式：

 $stmt->fetch(PDO::FETCH_ASSOC)

在上文中，我一直在使用fetch（）。您还可以使用：

PDOStatement:：fetchAll（）-返回包含所有结果集行的数组PDOStatement:：fetchColumn（）-从结果集的下一行返回一列PDOStatement:：fetchObject（）-获取下一行并将其作为对象返回。PDOStatement:：setFetchMode（）-设置此语句的默认获取模式

现在我进入提取模式：

PDO:：FETCH_ASSOC：返回结果集中返回的按列名索引的数组PDO:：FETCH_BOTH（默认值）：返回一个按结果集中返回的列名和0索引列编号索引的数组

还有更多的选择！请阅读PDOStatement Fetch文档中的所有内容。。

获取行计数：

您可以获取PDOStatement并执行rowCount（），而不是使用mysql_num_rows来获取返回的行数，例如：

<?php
$stmt = $db->query('SELECT * FROM table');
$row_count = $stmt->rowCount();
echo $row_count.' rows selected';

获取上次插入的ID

<?php
$result = $db->exec("INSERT INTO table(firstname, lastname) VAULES('John', 'Doe')");
$insertId = $db->lastInsertId();

---

插入和更新或删除语句

我们在mysql_*函数中所做的是：

<?php
$results = mysql_query("UPDATE table SET field='value'") or die(mysql_error());
echo mysql_affected_rows($result);

在pdo中，同样的事情可以通过以下方式完成：

<?php
$affected_rows = $db->exec("UPDATE table SET field='value'");
echo $affected_rows;

在上述查询中，PDO:：exec执行SQL语句并返回受影响的行数。

稍后将介绍插入和删除。

上述方法仅在查询中不使用变量时有用。但当您需要在查询中使用变量时，千万不要像上面那样尝试，因为准备好的语句或参数化语句就是这样。

---

编制的报表

问：什么是准备好的声明，为什么我需要它们？答：准备好的语句是预编译的SQL语句，只需将数据发送到服务器即可多次执行。

使用准备好的语句的典型工作流程如下（引自维基百科三点）：

准备：语句模板由应用程序创建并发送到数据库管理系统（DBMS）。某些值未指定，称为参数、占位符或绑定变量（以下标记为？）：插入产品（名称、价格）值（？，？）DBMS对语句模板进行分析、编译和执行查询优化，并在不执行结果的情况下存储结果。执行：稍后，应用程序为参数提供（或绑定）值，DBMS执行语句（可能返回结果）。应用程序可以使用不同的值执行任意次数的语句。在本例中，它可能为第一个参数提供“面包”，为第二个参数提供1.00。

您可以通过在SQL中包含占位符来使用准备好的语句。基本上有三个没有占位符（不要尝试使用上面的变量its），一个没有命名占位符，一个有命名占位符。

问：现在，什么是命名占位符，我如何使用它们？A.命名占位符。使用冒号前面的描述性名称，而不是问号。我们不关心名称占位符中的位置/价值顺序：

 $stmt->bindParam(':bla', $bla);

bindParam（参数、变量、data_type、长度、驱动程序选项）

也可以使用执行数组进行绑定：

<?php
$stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");
$stmt->execute(array(':name' => $name, ':id' => $id));
$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

OOP朋友的另一个很好的特性是，命名占位符可以直接将对象插入数据库，前提是财产与命名字段匹配。例如：

class person {
    public $name;
    public $add;
    function __construct($a,$b) {
        $this->name = $a;
        $this->add = $b;
    }

}
$demo = new person('john','29 bla district');
$stmt = $db->prepare("INSERT INTO table (name, add) value (:name, :add)");
$stmt->execute((array)$demo);

问：现在，什么是未命名占位符，我如何使用它们？A.让我们举个例子：

<?php
$stmt = $db->prepare("INSERT INTO folks (name, add) values (?, ?)");
$stmt->bindValue(1, $name, PDO::PARAM_STR);
$stmt->bindValue(2, $add, PDO::PARAM_STR);
$stmt->execute();

and

$stmt = $db->prepare("INSERT INTO folks (name, add) values (?, ?)");
$stmt->execute(array('john', '29 bla district'));

在上面，你可以看到这些？而不是像名字占位符那样的名字。现在在第一个示例中，我们将变量分配给各种占位符（$stmt->bindValue（1，$name，PDO:：PARAM_STR）；）。然后，我们将值分配给这些占位符并执行该语句。在第二个示例中，第一个数组元素转到第一个？第二个到第二个？。

注意：在未命名占位符中，我们必须注意传递给PDOState:：execute（）方法的数组中元素的正确顺序。

---

SELECT、INSERT、UPDATE、DELETE准备好的查询

选择：$stmt=$db->prepare（“SELECT*FROM table WHERE id=：id AND name=：name”）；$stmt->execute（数组（“：name”=>$name，“：id”=>$id））；$rows=$stmt->fetchAll（PDO:：FETCH_ASSOC）；插入：$stmt=$db->prepare（“INSERT INTO table（field1，field2）VALUES（：field1，：field2）”）；$stmt->execute（数组（':field1'=>$field1，':field2'=>$field2））；$affected_rows=$stmt->rowCount（）；删除：$stmt=$db->prepare（“DELETE FROM table WHERE id=：id”）；$stmt->bindValue（“：id”，$id，PDO:：PARAM_STR）；$stmt->execute（）；$affected_rows=$stmt->rowCount（）；更新：$stmt=$db->prepare（“UPDATE table SET name=？WHERE id=？”）；$stmt->execute（数组（$name，$id））；$affected_rows=$stmt->rowCount（）；

---

注：

然而，PDO和/或MySQLi并不完全安全。检查答案PDO准备的语句是否足以防止SQL注入？由ircmaxell设计。此外，我引用了他的回答中的部分内容：

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->query('SET NAMES GBK');
$stmt = $pdo->prepare("SELECT * FROM test WHERE name = ? LIMIT 1");
$stmt->execute(array(chr(0xbf) . chr(0x27) . " OR 1=1 /*"));

MySQL扩展是三个扩展中最古老的，也是开发人员用来与MySQL通信的原始方式。由于PHP和MySQL的更新版本都有改进，因此现在不推荐使用此扩展，而支持其他两种替代方案。

MySQLi是用于处理MySQL数据库的“改进”扩展。它利用了MySQL服务器较新版本中可用的功能，向开发人员公开了面向功能和面向对象的界面，并做了一些其他漂亮的事情。PDO提供了一个API，它整合了以前分布在主要数据库访问扩展（即MySQL、PostgreSQL、SQLite、MSSQL等）中的大部分功能。该接口为程序员提供高级对象，以处理数据库连接、查询和结果集，低级驱动程序与数据库服务器进行通信和资源处理。PDO正在进行大量的讨论和工作，它被认为是使用现代专业代码处理数据库的适当方法。

易于使用

分析和综合原因已经提到。对于新手来说，停止使用过时的mysql_函数是一个更重要的激励因素。

现代数据库API更易于使用。

主要是绑定参数可以简化代码。而且有了优秀的教程（如上所述），向PDO的过渡并不太困难。

然而，一次重写更大的代码库需要时间。Raison d‘être表示此中间选项：

替代mysql的等效pdo_*函数_*

使用<pdo_mysql.php>，您可以毫不费力地切换旧的mysql_函数。它添加了pdo_函数包装器，取代了mysql_对应的包装器。

只需包含一次（“pdo_mysql.php”）；在必须与数据库交互的每个调用脚本中。删除所有地方的mysql_函数前缀，并将其替换为pdo。mysql_connect（）变为pdo_connect（）mysql_query（）变为pdo_query（）mysql_num_rows（）变为pdo_num_rowsmysql_insert_id（）变为pdo_insert_id（）mysql_fetch_array（）变为pdo_fetch_arraymysql_fetch_assoc（）变为pdo_fetch_assocmysql_real_ascape_string（）变为pdo_real_escape_string（）等等您的代码工作方式相同，但大部分看起来仍然相同：includeonce（“pdo_mysql.php”）；pdo_connect（“localhost”、“usrABC”、“pw1234567”）；pdo_select_db（“测试”）；$result=pdo_query（“SELECT title，html FROM pages”）；而（$row=pdo_fetch_assoc（$result））{打印“$row[title]-$row[html]”；}

等等。您的代码正在使用PDO。现在是时候真正利用它了。

绑定参数很容易使用

你只需要一个不那么笨重的API。

pdo_query（）为绑定参数添加了非常简单的支持。转换旧代码很简单：

将变量移出SQL字符串。

将它们作为逗号分隔的函数参数添加到pdo_query（）中。打问号？作为变量之前的占位符。去掉之前包含字符串值/变量的“单引号”。

对于较长的代码，优势变得更加明显。

字符串变量通常不只是插入到SQL中，而是与其间的转义调用连接在一起。

pdo_query("SELECT id, links, html, title, user, date FROM articles
   WHERE title='" . pdo_real_escape_string($title) . "' OR id='".
   pdo_real_escape_string($title) . "' AND user <> '" .
   pdo_real_escape_string($root) . "' ORDER BY date")

具有应用了占位符，您不必担心：

pdo_query("SELECT id, links, html, title, user, date FROM articles
   WHERE title=? OR id=? AND user<>? ORDER BY date", $title, $id, $root)

请记住，pdo_*仍然允许或。只是不要转义变量并将其绑定到同一个查询中。

占位符功能由其背后的真实PDO提供。因此也允许：稍后命名占位符列表。

更重要的是，您可以在任何查询后安全地传递$_REQUEST[]变量。当提交＜form＞字段与数据库结构完全匹配时，它甚至更短：

pdo_query("INSERT INTO pages VALUES (?,?,?,?,?)", $_POST);

太简单了。但是，让我们回到一些重写建议和技术原因，来解释为什么你可能想要摆脱mysql并逃离。

修复或删除任何旧的学校消毒（）函数

将所有mysql_调用转换为带有绑定参数的pdo_query后，删除所有冗余的pdo_real_escape_string调用。

特别是，您应该修复任何消毒剂、清洁剂或过滤器This或clean_data函数，如过期教程以一种或另一种形式宣传的那样：

function sanitize($str) {
   return trim(strip_tags(htmlentities(pdo_real_escape_string($str))));
}

这里最明显的缺陷是缺少文档。更重要的是，过滤的顺序完全错误。

正确的顺序应该是：不赞成将stripse作为最内部的调用，然后trim，然后stripse_tags，htmlentities作为输出上下文，最后是_escape_string，因为它的应用程序应该直接在SQL中间存储之前。但作为第一步，只需去掉_real_aescape_string调用。如果您的数据库和应用程序流需要HTML上下文安全字符串，您可能需要暂时保留cleaning（）函数的其余部分。添加一个注释，它以后只应用HTML转义。字符串/值处理委托给PDO及其参数化语句。如果在您的消毒功能中提到stripslases（），则可能表明存在更高级别的监督。这通常是为了消除不推荐使用的magic_quotes的损坏（双转义）。然而，最好是集中固定，而不是逐串固定。使用一种用户区反转方法。然后删除消毒功能中的stripslasshes（）。magic_quotes上的历史注释。该功能被正确地弃用。然而，它通常被错误地描述为失败的安全功能。但魔法语录是一个失败的安全功能，就像网球作为营养来源失败一样。这根本不是他们的目的。PHP2/FI中最初的实现明确地引入了它，只是“引号将自动转义，从而更容易将表单数据直接传递给msql查询”。值得注意的是，与mSQL一起使用是意外安全的，因为它只支持ASCII。然后PHP3/Zend为MySQL重新引入了magic_quotes，并对其进行了错误的记录。但最初它只是一个方便的功能，并不是为了安全。

准备的报表有何不同

当您在SQL查询中加入字符串变量时，您不仅需要更复杂的操作。MySQL再次分离代码和数据也是多余的工作。

SQL注入只是当数据泄漏到代码上下文中时。数据库服务器稍后无法发现PHP最初将变量粘在查询子句之间的位置。

使用绑定参数，可以在PHP代码中分离SQL代码和SQL上下文值。但它不会在幕后再次被搅乱（除了PDO:：EMULATE_PREPARES）。您的数据库接收未变化的SQL命令和1:1的变量值。

虽然这个答案强调了您应该关注删除mysql_的可读性优势。由于这种可见的技术数据/代码分离，偶尔也会有性能优势（重复的INSERT值不同）。

请注意，参数绑定仍然不是针对所有SQL注入的一站式解决方案。它处理数据/值的最常见用法。但不能白名单列名/表标识符，帮助动态子句构造，或仅列出纯数组值列表。

混合PDO使用

这些pdo_*包装器函数构成了一个编码友好的间隙API。（如果不是特殊的函数签名转换，这几乎是MYSQLI所能做到的）。他们也在大多数时候暴露真实的PDO。重写不必停止使用新的pdo_函数名。您可以逐个将每个pdo_query（）转换为普通的$pdo->prepare（）->execute（）调用。

然而，最好从简化开始。例如，常见的结果获取：

$result = pdo_query("SELECT * FROM tbl");
while ($row = pdo_fetch_assoc($result)) {

可以用foreach迭代替换：

foreach ($result as $row) {

或者更好的是直接和完整的阵列检索：

$result->fetchAll();

在大多数情况下，您将得到比PDO或mysql_通常在查询失败后提供的警告更有用的警告。

其他选项

因此，这很有希望看到一些实际的原因和一个值得放弃mysql_的途径。

仅仅切换到pdo并不能完全解决问题。pdo_query（）也只是它的前端。

除非您还引入了参数绑定，或者可以利用更好的API中的其他东西，否则这是一个毫无意义的切换。我希望它被描绘得足够简单，不会加深对新人的失望。（教育通常比禁止更好。）

虽然它符合可能工作的最简单的东西，但它仍然是非常实验性的代码。我只是周末写的。然而，有太多的选择。只需搜索PHP数据库抽象并浏览一下。一直以来都有很多优秀的图书馆可以完成这样的任务。

如果您想进一步简化数据库交互，像Paris/Inidiorm这样的映射器值得一试。就像没有人在JavaScript中使用乏味的DOM一样，现在您不必照顾原始的数据库界面。

MySQL扩展：

未积极开发自PHP 5.5（2013年6月发布）起正式弃用。自PHP 7.0（2015年12月发布）起已完全删除这意味着截至2018年12月31日，它不存在于任何支持的PHP版本中。如果您使用的是支持它的PHP版本，那么您使用的版本不会解决安全问题。缺少OO接口不支持：非阻塞异步查询准备好的语句或参数化查询存储过程多个语句交易“新”密码身份验证方法（默认情况下，在MySQL 5.6中打开；5.7中需要）MySQL 5.1或更高版本中的任何新功能

由于它已被弃用，因此使用它会使您的代码不那么经得起未来考验。

缺少对准备好的语句的支持尤为重要，因为与使用单独的函数调用手动转义外部数据相比，它们提供了一种更清晰、更不易出错的转义和引用外部数据的方法。

请参阅SQL扩展的比较。