原因有很多，但可能最重要的一点是，这些函数鼓励不安全的编程实践，因为它们不支持准备好的语句。准备好的语句有助于防止SQL注入攻击。

当使用mysql_*函数时，您必须记住通过mysql_real_aescape_string（）运行用户提供的参数。如果你只在一个地方忘记了，或者你碰巧只漏掉了部分输入，你的数据库可能会受到攻击。

在PDO或mysqli中使用已准备好的语句将使其更难产生此类编程错误。

原因有很多，但可能最重要的一点是，这些函数鼓励不安全的编程实践，因为它们不支持准备好的语句。准备好的语句有助于防止SQL注入攻击。

当使用mysql_*函数时，您必须记住通过mysql_real_aescape_string（）运行用户提供的参数。如果你只在一个地方忘记了，或者你碰巧只漏掉了部分输入，你的数据库可能会受到攻击。

在PDO或mysqli中使用已准备好的语句将使其更难产生此类编程错误。

mysql_函数：

已过时-不再维护不允许您轻松移动到另一个数据库后端不支持准备好的语句，因此鼓励程序员使用串联来构建查询，从而导致SQL注入漏洞

MySQL扩展是三个扩展中最古老的，也是开发人员用来与MySQL通信的原始方式。由于PHP和MySQL的更新版本都有改进，因此现在不推荐使用此扩展，而支持其他两种替代方案。

MySQLi是用于处理MySQL数据库的“改进”扩展。它利用了MySQL服务器较新版本中可用的功能，向开发人员公开了面向功能和面向对象的界面，并做了一些其他漂亮的事情。PDO提供了一个API，它整合了以前分布在主要数据库访问扩展（即MySQL、PostgreSQL、SQLite、MSSQL等）中的大部分功能。该接口为程序员提供高级对象，以处理数据库连接、查询和结果集，低级驱动程序与数据库服务器进行通信和资源处理。PDO正在进行大量的讨论和工作，它被认为是使用现代专业代码处理数据库的适当方法。

首先，让我们从我们给每个人的标准评论开始：

请不要在新代码中使用mysql_*函数。它们不再被维护，并被正式弃用。看到红盒子了吗？学习准备好的语句，并使用PDO或MySQLi-本文将帮助您决定使用哪一种。如果你选择PDO，这里有一个很好的教程。

让我们一句一句地来解释一下：

它们不再被维护，并被正式弃用这意味着PHP社区正在逐渐放弃对这些非常古老的函数的支持。它们很可能在未来（最近）版本的PHP中不存在！在不久的将来，继续使用这些函数可能会破坏代码。新！-ext/mysql从PHP 5.5开始正式被弃用！更新！ext/mysql已在PHP7中删除。相反，你应该学习准备好的陈述mysql_*扩展不支持准备好的语句，这是针对SQL注入的一种非常有效的对策。它修复了依赖MySQL的应用程序中的一个非常严重的漏洞，该漏洞允许攻击者访问您的脚本并对您的数据库执行任何可能的查询。有关更多信息，请参阅如何防止PHP中的SQL注入？看到红盒子了吗？当您转到任何mysql函数手册页面时，都会看到一个红色框，说明不应该再使用它。使用PDO或MySQLi有更好、更健壮和构建良好的替代方案，PDO-PHP数据库对象，它为数据库交互提供了完整的OOP方法，以及MySQLi，它是MySQL特有的改进。

说到技术原因，只有几个，非常具体，很少使用。很可能你一生中都不会使用它们。也许我太无知了，但我从来没有机会使用它们

非阻塞异步查询返回多个结果集的存储过程加密（SSL）压缩

如果您需要，这些无疑是从mysql扩展转向更时尚、更现代的技术原因。

尽管如此，也有一些非技术性的问题，这会使您的体验更加困难

在现代PHP版本中进一步使用这些函数将引起不推荐使用的级别通知。它们可以简单地关闭。在不久的将来，它们可能会从默认的PHP构建中删除。也没什么大不了的，因为mydsql-ext将被迁移到PECL中，每个宿主都会很乐意用它来编译PHP，因为他们不想失去那些网站工作了几十年的客户。Stackoverflow社区的强烈抵抗。每次你提到这些诚实的功能时，你都会被告知它们是严格的禁忌。作为一个普通的PHP用户，您使用这些函数的想法很可能是错误的。就因为有这么多的教程和手册教你错误的方法。不是函数本身-我必须强调它-而是它们的使用方式。

后一个问题是一个问题。但是，在我看来，提议的解决方案也没有更好。在我看来，所有这些PHP用户都将立即学习如何正确处理SQL查询，这是一个过于理想化的梦想。他们很可能只是机械地将mysql_*更改为mysqli_*，保持方法不变。特别是因为mysqli使准备好的语句使用起来非常痛苦和麻烦。更不用说，本机准备的语句不足以防止SQL注入，mysqli和PDO都没有提供解决方案。

因此，我宁愿反对错误的做法，以正确的方式教育人们，而不是反对这种诚实的延伸。

此外，还有一些错误或不重要的原因，如

不支持存储过程（我们使用的是mysql_query（“CALL my_proc”）；年龄）不支持交易（同上）不支持多个语句（谁需要它们？）不在积极发展中（那么，它对你有什么实际影响吗？）缺少OO接口（创建一个OO接口需要几个小时）不支持准备语句或参数化查询

最后一点很有趣。虽然mysql-ext不支持本机准备的语句，但出于安全考虑，它们不是必需的。我们可以使用手动处理的占位符轻松地伪造准备好的语句（就像PDO一样）：

function paraQuery()
{
    $args  = func_get_args();
    $query = array_shift($args);
    $query = str_replace("%s","'%s'",$query); 

    foreach ($args as $key => $val)
    {
        $args[$key] = mysql_real_escape_string($val);
    }

    $query  = vsprintf($query, $args);
    $result = mysql_query($query);
    if (!$result)
    {
        throw new Exception(mysql_error()." [$query]");
    }
    return $result;
}

$query  = "SELECT * FROM table where a=%s AND b LIKE %s LIMIT %d";
$result = paraQuery($query, $a, "%$b%", $limit);

瞧，一切都是参数化和安全的。

但好吧，如果你不喜欢手册中的红色框，那么会出现一个选择问题：mysqli还是PDO？

答案如下：

如果您了解使用数据库抽象层并寻找API来创建抽象层的必要性，那么mysqli是一个非常好的选择，因为它确实支持许多mysql特有的特性。如果像绝大多数PHP用户一样，您在应用程序代码中正确使用原始API调用（这基本上是错误的做法），那么PDO是唯一的选择，因为这个扩展假装不仅仅是API，而是一个半DAL，仍然不完整，但提供了许多重要功能，其中两个功能使PDO与mysqli有着重要区别：与mysqli不同，PDO可以通过值绑定占位符，这使得动态构建的查询变得可行，而无需几个屏幕的代码。与mysqli不同，PDO总是可以在一个简单的普通数组中返回查询结果，而mysqli只能在mysqlnd安装上执行。

因此，如果你是一个普通的PHP用户，并且想在使用本机准备的语句时省去一大堆麻烦，那么PDO是唯一的选择。然而，PDO也不是银弹，也有其困难。因此，我为PDO标签wiki中的所有常见陷阱和复杂案例编写了解决方案

然而，每个谈论扩展的人总是忽略了关于Myqli和PDO的两个重要事实：

事先准备好的声明不是灵丹妙药。有一些动态标识符不能使用准备好的语句绑定。存在具有未知数量参数的动态查询，这使得查询构建成为一项困难的任务。mysqli_*和PDO函数都不应该出现在应用程序代码中。在它们和应用程序代码之间应该有一个抽象层，它将在内部完成绑定、循环、错误处理等所有肮脏的工作，使应用程序代码变得干干净净。特别是对于动态查询构建这样的复杂情况。

因此，仅仅切换到PDO或mysqli是不够的。必须使用ORM、查询生成器或任何数据库抽象类，而不是在代码中调用原始API函数。相反，如果在应用程序代码和mysqlAPI之间有一个抽象层，那么使用哪个引擎实际上并不重要。您可以使用mysql-ext，直到它被弃用，然后轻松地将抽象类重写到另一个引擎，使所有应用程序代码保持完整。

下面是基于我的safemysql类的一些示例，以说明这样的抽象类应该是什么样子的：

$city_ids = array(1,2,3);
$cities   = $db->getCol("SELECT name FROM cities WHERE is IN(?a)", $city_ids);

将这一行与PDO所需的代码量进行比较。然后，将您需要的大量代码与原始Myqli准备的语句进行比较。请注意，错误处理、分析和查询日志已经内置并正在运行。

$insert = array('name' => 'John', 'surname' => "O'Hara");
$db->query("INSERT INTO users SET ?u", $insert);

将其与通常的PDO插入进行比较，当每个字段名重复六到十次时，在所有这些众多的命名占位符、绑定和查询定义中。

另一个例子：

$data = $db->getAll("SELECT * FROM goods ORDER BY ?n", $_GET['order']);

您很难找到PDO处理此类实际案例的示例。而且这太啰嗦了，很可能是不安全的。

所以，再一次，你应该关注的不仅仅是原始驱动程序，而是抽象类，它不仅适用于初学者手册中的愚蠢示例，也适用于解决任何现实问题。