嘿，针对你的购买系统库存更新需求，我给你整理一套安全且可靠的实现流程，重点要解决并发下单导致库存负数和SQL注入这两个核心问题，具体步骤如下：

一、前端请求处理：不要直接传库存值，只传商品唯一标识 #

前端的购买按钮不要把$item_stock_count这类变量直接提交到后端——因为前端数据可以被轻易篡改，后端必须完全依赖数据库的真实库存值来操作。

推荐用表单提交（或者AJAX异步提交），只传递商品的ID（比如item_id）：

<!-- 下单页的购买按钮表单 -->
<form method="POST" action="process_order.php">
    <!-- 隐藏字段传递商品ID -->
    <input type="hidden" name="item_id" value="<?php echo $item_id; ?>">
    <button type="submit" name="confirm_purchase">确认购买</button>
</form>

如果想用AJAX实现无刷新提交，也可以用类似逻辑，把item_id作为POST参数传给后端接口。

二、后端MySQLi处理：用原子更新+预处理语句保证安全 #

后端的核心逻辑是原子性更新库存，同时用预处理语句防止SQL注入，避免先查询再更新的并发问题。

1. 核心代码示例（PHP + MySQLi） #

<?php
// 初始化MySQLi连接（请替换成你的数据库配置）
$mysqli = new mysqli('localhost', 'username', 'password', 'database_name');
if ($mysqli->connect_error) {
    die('数据库连接失败: ' . $mysqli->connect_error);
}

// 处理购买请求
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['confirm_purchase'], $_POST['item_id'])) {
    $item_id = (int)$_POST['item_id']; // 强制转成整数，避免非数值输入

    // 关键：用原子SQL语句更新库存，同时判断库存是否大于0
    // 这条语句会在数据库层面保证只有库存>0时才会减1，避免并发导致负数
    $sql = "UPDATE product_stock SET stock_count = stock_count - 1 WHERE item_id = ? AND stock_count > 0";
    
    // 使用预处理语句防止SQL注入
    $stmt = $mysqli->prepare($sql);
    $stmt->bind_param('i', $item_id); // 绑定参数，'i'表示整数类型
    
    // 执行更新并检查结果
    if ($stmt->execute()) {
        // 检查受影响的行数：如果为0，说明库存不足或者商品不存在
        if ($stmt->affected_rows > 0) {
            echo "购买成功！库存已更新";
            // 这里可以继续处理订单创建逻辑（比如插入订单表）
        } else {
            echo "抱歉，库存不足或商品不存在";
        }
    } else {
        echo "操作失败: " . $stmt->error;
    }

    // 关闭语句和连接
    $stmt->close();
    $mysqli->close();
}
?>

2. 为什么用原子更新？ #

如果先执行SELECT stock_count FROM product_stock WHERE item_id = ?，再执行UPDATE ... SET stock_count = $new_count，在高并发场景下，两个用户同时查询到库存为1，然后都执行减1操作，最终库存会变成-1，这就是典型的竞态条件问题。而直接用UPDATE ... SET stock_count = stock_count -1 WHERE ... AND stock_count >0，数据库会把这个操作当成一个原子事务，避免并发冲突。

三、进阶优化：结合订单表的事务处理 #

如果你的系统需要同时创建订单记录和更新库存，建议用数据库事务来保证两个操作的原子性（要么都成功，要么都失败）：

// 在处理购买请求的代码中开启事务
$mysqli->begin_transaction();

try {
    // 1. 更新库存
    $update_sql = "UPDATE product_stock SET stock_count = stock_count - 1 WHERE item_id = ? AND stock_count > 0";
    $stmt = $mysqli->prepare($update_sql);
    $stmt->bind_param('i', $item_id);
    $stmt->execute();
    
    if ($stmt->affected_rows === 0) {
        throw new Exception("库存不足");
    }
    $stmt->close();

    // 2. 插入订单记录（示例，根据你的订单表结构调整）
    $order_sql = "INSERT INTO orders (item_id, user_id, order_time) VALUES (?, ?, NOW())";
    $stmt = $mysqli->prepare($order_sql);
    $user_id = $_SESSION['user_id']; // 假设用户已登录，从会话获取ID
    $stmt->bind_param('ii', $item_id, $user_id);
    $stmt->execute();
    $stmt->close();

    // 提交事务
    $mysqli->commit();
    echo "购买成功！订单已创建，库存已更新";
} catch (Exception $e) {
    // 回滚事务
    $mysqli->rollback();
    echo "购买失败: " . $e->getMessage();
}

$mysqli->close();

四、关键注意事项 #

• 永远不要信任前端数据：所有商品相关的参数（比如库存、价格）都要从数据库获取，前端只负责传递商品ID这类唯一标识。
• 开启MySQLi错误报告：开发阶段可以开启mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);，方便排查问题。
• 处理用户登录状态：确保只有登录用户才能提交购买请求，避免恶意请求。
• 库存预警：可以在更新后检查库存剩余数量，低于阈值时触发补货提醒。

内容的提问来源于stack exchange，提问作者Sean2148