discuz 插件查询数据库

在Discuz插件开发中，数据库查询是核心操作之一，无论是用户数据调用、帖子内容检索，还是扩展功能的实现，都需要通过合理、高效的方式与数据库交互，本文从技术实现、安全规范及性能优化三个维度展开分析，帮助开发者构建更可靠的插件系统。

一、Discuz数据库操作基础

Discuz内置了数据库操作类DB::table()，建议优先使用官方封装方法而非原生SQL，例如查询用户表：

$uid = 123;
$user = DB::fetch_first("SELECT * FROM %t WHERE uid=%d", array('common_member', $uid));

此写法通过占位符自动处理表前缀替换和参数过滤，较直接拼接SQL更安全，注意%t对应数据表名，%d对应整型参数，字符串参数应使用%s。

二、高效查询的实现策略

1、索引优化

对WHERE条件中的字段（如dateline时间戳）建立索引，可使万级数据量的查询响应时间降低80%，但需避免过度索引，更新频繁的表字段不宜超过5个索引。

2、分页控制

使用DB::limit()配合COUNT(*)实现分页：

$page = max(1, intval($_GET['page']));
$perpage = 20;
$start = ($page-1)*$perpage;
$count = DB::result_first("SELECT COUNT(*) FROM %t", array('forum_thread'));
$threadlist = DB::fetch_all("SELECT * FROM %t LIMIT %d,%d", array('forum_thread', $start, $perpage));

3、缓存机制

对高频访问的配置数据采用缓存策略：

loadcache('plugin_setting');
if(!isset($_G['cache']['plugin_setting'])) {
    $settings = DB::fetch_all("SELECT * FROM %t", array('plugin_config'));
    savecache('plugin_setting', $settings);
}

三、安全防护要点

1、所有外部输入参数必须经过intval()、dhtmlspecialchars()或daddslashes()处理

2、禁止拼接查询条件，以下写法存在SQL注入风险：

// 危险示例
$sql = "SELECT * FROM ".DB::table('forum_post')." WHERE subject='{$_GET['keyword']}'";

3、事务操作需严格测试，建议使用：

DB::transaction_start();
try {
    DB::query("UPDATE ...");
    DB::query("INSERT ...");
    DB::commit();
} catch(Exception $e) {
    DB::rollback();
}

四、性能监控与调试

1、在config_global.php中开启调试模式：

$_config['debug'] = 1;
$_config['dumpdb'] = 1;

2、通过DB::query()返回值分析执行耗时

3、使用EXPLAIN语句检测慢查询执行计划

五、典型问题解决方案

Q：插件表名是否需要前缀？

A：必须使用DB::table('plugin_table')自动添加站点前缀

Q：查询结果如何转换为数组？

A：DB::fetch_all()返回二维数组，DB::fetch_first()返回单行关联数组

Q：联表查询的正确写法？

A：推荐：

DB::fetch_all("SELECT t.tid, m.username FROM %t t 
    LEFT JOIN %t m ON t.authorid=m.uid 
    WHERE t.fid=%d", 
    array('forum_thread', 'common_member', 12));

> 本文引用技术规范：

> 1. Discuz! X3.4开发文档（https://discuz.dismall.com/）

> 2. PHP PDO预处理声明（PHP官方手册）

> 3. MySQL索引优化白皮书（MySQL 8.0 Reference Manual）