如何使用 PHP PDO 安全实现用户资料更新功能

本文详解如何基于 pdo 构建健壮的用户资料更新页面，重点解决因重复校验导致的“字段已被占用”误报问题，并提供防 sql 注入、会话同步与事务安全的最佳实践。

在开发用户资料更新功能时，一个常见却容易被忽视的问题是：表单预填充了当前用户原有数据（如用户名、邮箱），但提交时仍被判定为“已存在”。根本原因在于你的校验逻辑未排除当前用户自身——即：当用户仅修改 firstname 时，校验 username 和 email 是否重复的查询仍会命中该用户自己的记录，从而错误返回 COUNT > 0。

✅ 正确做法：校验时排除当前用户 ID

你需要在 SELECT 校验语句中加入 AND id != ? 条件，确保只检查其他用户的冲突。以下是重构后的完整逻辑（已移除不安全的 mysqli_real_escape_string，统一使用 PDO 参数化）：

if (isset($_POST['userprofileupdate']) && isset($_SESSION['id'])) {
    $id = (int)$_SESSION['id']; // 强制整型，防止注入
    $firstname = trim($_POST['name_1'] ?? '');
    $lastname  = trim($_POST['name_2'] ?? '');
    $email     = filter_var($_POST['email_1'] ?? '', FILTER_SANITIZE_EMAIL);
    $username  = preg_replace('/[^a-zA-Z0-9_]+/', '', $_POST['username'] ?? ''); // 白名单过滤

    // ✅ 校验邮箱是否被其他用户占用（排除自己）
    $stmt = $pdo->prepare('SELECT 1 FROM users WHERE email = :email AND id != :id');
    $stmt->execute(['email' => $email, 'id' => $id]);
    $emailTaken = $stmt->fetch() !== false;

    // ✅ 校验用户名是否被其他用户占用（排除自己）
    $stmt = $pdo->prepare('SELECT 1 FROM users WHERE username = :username AND id != :id');
    $stmt->execute(['username' => $username, 'id' => $id]);
    $usernameTaken = $stmt->fetch() !== false;

    if ($emailTaken) {
        header('Location: /panel/profile?email_taken');
        exit;
    }
    if ($usernameTaken) {
        header('Location: /panel/profile?username_taken');
        exit;
    }

    // ✅ 安全执行更新（推荐命名占位符，可读性高）
    $sql = "UPDATE users 
            SET username = :username, 
                firstname = :firstname, 
                lastname = :lastname, 
                email = :email 
            WHERE id = :id";
    $stmt = $pdo->prepare($sql);
    $stmt->execute([
        'username'  => $username,
        'firstname' => $firstname,
        'lastname'  => $lastname,
        'email'     => $email,
        'id'        => $id
    ]);

    // ✅ 同步更新 Session（避免销毁后重登录）
    $_SESSION['username'] = $username;
    $_SESSION['firstname'] = $firstname;
    $_SESSION['lastname'] = $lastname;
    $_SESSION['email'] = $email;

    header('Location: /panel/profile?success=updated');
    exit;
}

⚠️ 关键注意事项

• 不要销毁 Session：session_destroy() 会导致用户登出。应仅更新对应 Session 变量，保持登录态。
• 输入过滤优于转义：filter_var() 和正则白名单比 mysqli_real_escape_string() 更适合 PDO 场景（后者对 PDO 无效且冗余）。
• 使用 exit 防止后续代码执行：每次 header() 后必须 exit 或 die，否则可能继续执行危险逻辑。
• 前端配合：建议在表单中添加隐藏字段 ，服务端用其替代 $_SESSION['id']（更可控）。
• 事务增强（可选）：若后续需联动更新日志表等，可用 $pdo->beginTransaction() 包裹整个流程。

✅ 总结

真正的资料更新不是简单拼接 SQL，而是：

1. 精准校验（排除自身 ID）；
2. 参数化执行（杜绝注入）；
3. 会话一致性维护（不强制登出）；
4. 输入净化前置（而非依赖转义）。

遵循以上结构，即可彻底规避“预填字段误判冲突”的经典陷阱，构建安全、健壮的用户资料管理模块。

立即学习“PHP免费学习笔记（深入）”；