MySQLi o PDO? Questa è una delle domande più frequenti tra chi sviluppa in PHP e deve connettere un’applicazione a un database. In questa guida di oltre 3000 parole analizziamo in profondità le differenze tra le due modalità di connessione, i vantaggi, gli svantaggi, la sicurezza, le prestazioni e gli esempi pratici di codice aggiornati a PHP 8.2.
Introduzione: perché parlare di connessione PHP–MySQL
PHP è uno dei linguaggi server-side più usati al mondo per lo sviluppo web. Una delle sue funzioni principali è la capacità di interagire con un database MySQL per memorizzare, leggere e modificare dati. Tuttavia, esistono diversi modi per stabilire questa connessione, e scegliere quello giusto è cruciale per sicurezza, compatibilità e prestazioni.
Fino a qualche anno fa, molti sviluppatori usavano la vecchia estensione mysql_* (ad esempio mysql_connect()), ma oggi è deprecata e rimossa da PHP 7. Le alternative moderne sono due:
- MySQLi (MySQL Improved Extension)
- PDO (PHP Data Objects)
Entrambe consentono di connettersi e comunicare con un database, ma la loro architettura, la flessibilità e le funzionalità sono molto diverse. Vediamo quindi nel dettaglio cosa le distingue e quale conviene usare nel 2025 per progetti professionali.
Cos’è MySQLi (MySQL Improved)
MySQLi è un’estensione specifica di PHP sviluppata per interagire con database MySQL. È una versione migliorata rispetto alla vecchia estensione mysql_* e introduce nuove funzionalità come i prepared statements, il supporto orientato agli oggetti e una migliore gestione degli errori.
Esempio di connessione con MySQLi
connect_error) {
die("Connessione fallita: " . $conn->connect_error);
}
echo "Connessione riuscita!";
$conn->close();
?>
Questo metodo utilizza l’oggetto mysqli e si basa su un approccio orientato agli oggetti. Tuttavia, è possibile anche usare MySQLi in modalità procedurale, come vedremo tra poco.
Cos’è PDO (PHP Data Objects)
PDO è una libreria più moderna e astratta rispetto a MySQLi. È stata introdotta per fornire un modo uniforme di accedere a diversi database, non solo MySQL. Con PDO, puoi cambiare database (PostgreSQL, SQLite, SQL Server, Oracle, ecc.) semplicemente modificando la stringa di connessione, senza dover riscrivere tutto il codice.
Esempio di connessione con PDO
setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
echo "Connessione riuscita!";
} catch (PDOException $e) {
echo "Errore di connessione: " . $e->getMessage();
}
?>
Come si nota, PDO utilizza un approccio a oggetti più pulito e include un potente sistema di gestione delle eccezioni con try/catch, che rende più facile gestire errori e log applicativi.
MySQLi vs PDO: le differenze chiave
| Caratteristica | MySQLi | PDO |
|---|---|---|
| Supporto database | Solo MySQL | Oltre 12 database (MySQL, PostgreSQL, SQLite, SQL Server…) |
| Approccio | Procedurale e OOP | Solo orientato agli oggetti |
| Prepared Statements | Sì, ma meno intuitivi | Sì, semplici e sicuri |
| Sicurezza contro SQL Injection | Buona, se si usano i prepared statements | Eccellente, nativamente protetta |
| Gestione errori | Tramite mysqli_error() |
Tramite eccezioni PDOException |
| Portabilità | Bassa (solo MySQL) | Alta (cambio DB = cambio DSN) |
| Supporto transazioni | Sì | Sì (più semplice e flessibile) |
| Velocità | Leggermente più veloce con MySQL puro | Simile, ma più universale |
| Estendibilità | Limitata | Altamente estendibile |
Sicurezza: proteggersi dalle SQL Injection
Uno dei motivi principali per cui usare MySQLi o PDO è la sicurezza. Entrambe le estensioni supportano i prepared statements, che impediscono agli utenti malintenzionati di manipolare le query SQL.
Esempio MySQLi (prepared statement)
$stmt = $conn->prepare("SELECT * FROM utenti WHERE email = ?");
$stmt->bind_param("s", $email);
$email = "test@example.com";
$stmt->execute();
$result = $stmt->get_result();
Esempio PDO (prepared statement)
$stmt = $pdo->prepare("SELECT * FROM utenti WHERE email = :email");
$stmt->bindParam(':email', $email, PDO::PARAM_STR);
$email = "test@example.com";
$stmt->execute();
$result = $stmt->fetchAll();
In PDO, i parametri possono essere nominati (:email), rendendo il codice più leggibile e scalabile. In MySQLi si usano invece i segnaposto ? posizionali.
Gestione errori e debug
Un altro aspetto importante è come vengono gestiti gli errori. Con MySQLi, di solito si controllano manualmente gli errori dopo ogni operazione:
if (!$conn->query($sql)) {
echo "Errore: " . $conn->error;
}
Con PDO, invece, puoi attivare la modalità eccezioni e catturare facilmente errori con try/catch:
try {
$stmt = $pdo->query("SELECT * FROM utenti");
} catch (PDOException $e) {
echo "Errore SQL: " . $e->getMessage();
}
Questo approccio è molto più elegante e professionale, soprattutto in applicazioni complesse.
Portabilità: quando cambiare database non deve essere un incubo
Con MySQLi, se decidi di migrare da MySQL a PostgreSQL o SQLite, dovrai riscrivere tutte le query e il codice di connessione.
Con PDO, invece, basta cambiare la stringa DSN:
// Da MySQL
$dsn = "mysql:host=localhost;dbname=test";
// A PostgreSQL
$dsn = "pgsql:host=localhost;dbname=test";
Il resto del codice (query, binding, fetch) rimane identico. Questa flessibilità è una delle ragioni per cui PDO è considerato più “future-proof”.
Performance e benchmark: MySQLi o PDO?
Dal punto di vista delle prestazioni pure, MySQLi può risultare leggermente più veloce se si lavora solo con MySQL e si usano query semplici. Tuttavia, la differenza è minima (meno del 2%) e spesso trascurabile.
PDO introduce un piccolo overhead dovuto al suo strato di astrazione, ma il vantaggio in termini di flessibilità, sicurezza e leggibilità del codice è nettamente superiore.
In applicazioni reali, come CMS, e-commerce o sistemi gestionali, PDO è quasi sempre la scelta migliore.
Compatibilità con PHP 8 e futuri aggiornamenti
Entrambe le estensioni sono compatibili con PHP 8.2 e versioni successive. Tuttavia, PDO è considerata più moderna e più attivamente supportata dalla community PHP.
Molti framework come Laravel, Symfony, CodeIgniter, e WordPress (via WPDB) usano PDO o driver compatibili. Ciò garantisce una maggiore durata e compatibilità futura.
Uso nelle applicazioni reali
MySQLi è ideale per:
- Applicazioni semplici basate esclusivamente su MySQL
- Script o gestionali interni di piccole dimensioni
- Progetti didattici o legacy che già usano MySQLi
PDO è ideale per:
- Applicazioni professionali e scalabili
- Progetti multi-database (MySQL, PostgreSQL, SQLite…)
- Framework moderni o CMS personalizzati
- Applicazioni orientate alla sicurezza (SQL Injection, error handling, logging)
Esempio completo: CRUD con PDO
Vediamo un esempio completo di operazioni CRUD (Create, Read, Update, Delete) usando PDO.
setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// CREATE
$stmt = $pdo->prepare("INSERT INTO utenti (nome, email) VALUES (:nome, :email)");
$stmt->execute([':nome' => 'Mario Rossi', ':email' => 'mario@example.com']);
// READ
$stmt = $pdo->query("SELECT * FROM utenti");
foreach ($stmt as $row) {
echo $row['nome'] . " - " . $row['email'] . "
";
}
// UPDATE
$stmt = $pdo->prepare("UPDATE utenti SET email=:email WHERE nome=:nome");
$stmt->execute([':email' => 'nuovo@example.com', ':nome' => 'Mario Rossi']);
// DELETE
$stmt = $pdo->prepare("DELETE FROM utenti WHERE nome=:nome");
$stmt->execute([':nome' => 'Mario Rossi']);
?>
Con pochi comandi chiari e leggibili, PDO permette di gestire tutte le operazioni essenziali su un database in modo sicuro e compatto.
Conclusione: quale scegliere nel 2025?
La risposta dipende dal tipo di progetto. Se lavori con solo MySQL e cerchi una soluzione leggera, MySQLi può bastare. Ma se vuoi scrivere codice più sicuro, scalabile e portabile, PDO è la scelta consigliata.
In un mondo in cui PHP continua a evolversi, scegliere PDO significa scrivere codice pronto per il futuro, compatibile con diversi database e framework, e soprattutto più robusto dal punto di vista della sicurezza.
In sintesi:
- MySQLi = veloce, ma limitato a MySQL.
- PDO = più moderno, sicuro, portabile e completo.
Se stai iniziando oggi un nuovo progetto, la risposta è chiara: usa PDO.
