PHP SQLite3操作核心要点:变量插入必须用prepare()/execute()防SQL注入;open()需检查返回值防静默失败;批量插入须用事务或拼接多值提升性能,扩展功能基本不可用。
exec() 和 prepare()/execute() 的关键区别
直接用 exec() 执行 INSERT 是最简方式,但仅适合固定值、无用户输入的场景;一旦涉及变量,必须用预处理语句,否则面临 SQL 注入风险,且 SQLite3 不支持在 exec() 中拼接参数。
常见错误现象:exec("INSERT INTO user (name) VALUES ('" . $_POST['name'] . "')") —— 输入 O'Reilly 就报错 SQL error: near "Reilly": syntax error。
exec() 只接受完整 SQL 字符串,不解析占位符,也不转义prepare() 返回 SQLite3Stmt 对象,bindValue() 或 bindParam() 才真正绑定变量并做类型适配SQLITE3_TEXT,数字建议显式指定 SQLITE3_INTEGER 避免隐式转换歧义SQLite3::open() 失败却没报错?检查 openMode 参数和文件权限默认调用 new SQLite3('db.sqlite') 等价于 open('db.sqlite', SQLITE3_OPEN_READWRITE | SQLITE3_OPEN_CREATE),但若目录不可写,构造函数静默失败(返回 false 而非抛异常),容易误判为“连接成功”。
典型表现:后续 query() 报 Trying to invoke method on null,因为对象未正确初始化。
$db = new SQLite3('data.db'); if (!$db) { die('DB init failed'); }
SQLITE3_OPEN_READONLY,避免因权限问题意外失败getcwd(),建议用 __DIR__ . '/data.db')exec(),改用事务 + 单条 INSERT ... VALUES (),(),()
逐条执行 100 次 INSERT,耗时可能是开启事务后一次执行的 5–20 倍,主因是 SQLite 默认每条语句单独提交(fsync 开销大)。
错误做法:for ($i=0; $iexec("INSERT INTO log(msg) VALUES ('$msg[$i]')"); }
beginTransaction() + commit() 包裹循环,减少磁盘同步次数INSERT INTO t(a,b) VALUES (1,'x'),(2,'y'),(3,'z')(SQLite3 支持,但注意单条语句长度限制,默认约 
SQLite3::escapeString() 或预处理过滤——拼接字符串时 escapeString() 仍必要,因预处理不适用此场景尽管 SQLite3 官方支持扩展(如 JSON、FTS5),但 PHP 编译时默认禁用扩展加载(SQLITE_ENABLE_LOAD_EXTENSION 未启用),且多数生产环境(尤其共享主机、Docker alpine 镜像)无法启用。
尝试 $db->loadExtension('libsqlitefunctions.so') 几乎总报 not authorized 或 undefined method。
sqlite3.extension_dir 配置项无效,该功能从未被 PHP 绑定实现json_encode()/json_decode() 处理字段,而非依赖 SQLite JSON1 扩展FULLTEXT TABLE 语法创建表(PHP 可执行),但查询仍走标准 SELECT ... MATCH 'term',无需额外扩展