嘿，这个需求其实挺常见的，我来一步步给你拆解怎么实现，确保安全又可靠：

第一步：前端表单搭建 #

先做一个简单的输入表单，让用户输入要累加的金额，还要注意如果是针对特定记录（比如某条商品或用户的price），最好加个隐藏字段传递记录ID，避免误更新全表：

<form method="POST" action="update_price.php">
    <!-- 隐藏字段：假设我们要更新ID为1的记录，实际项目可以从动态数据获取 -->
    <input type="hidden" name="record_id" value="1">
    <label for="add_price">要累加的金额：</label>
    <input type="number" name="add_price" id="add_price" min="0" step="0.01" required>
    <button type="submit">提交累加</button>
</form>

这里用type="number"限制输入为数字，min="0"防止负数（如果业务允许负数可以去掉），step="0.01"支持小数金额。

第二步：后端PHP处理逻辑 #

接下来写update_price.php的处理代码，重点是用预处理语句防止SQL注入，绝对不要直接把用户输入拼进SQL里！

1. 数据库连接（以MySQLi面向对象为例） #

先建立数据库连接，记得替换成你自己的数据库信息：

<?php
// 数据库配置
$host = 'localhost';
$dbname = 'your_database';
$username = 'your_username';
$password = 'your_password';

// 创建连接
$conn = new mysqli($host, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

2. 处理表单提交并执行累加 #

// 检查是否是POST提交，并且有输入的金额和记录ID
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['add_price'], $_POST['record_id'])) {
    // 获取并验证输入
    $addPrice = $_POST['add_price'];
    $recordId = $_POST['record_id'];

    // 验证输入是否为有效数字
    if (!is_numeric($addPrice)) {
        die("请输入有效的金额数字");
    }

    // 准备预处理SQL语句：核心是 SET price = price + ?
    $sql = "UPDATE your_table SET price = price + ? WHERE id = ?";
    $stmt = $conn->prepare($sql);

    // 绑定参数：第一个参数是类型（d代表双精度浮点数，i代表整数），后面是变量
    // 如果你的price是整数类型，把'd'改成'i'即可
    $stmt->bind_param("di", $addPrice, $recordId);

    // 执行语句
    if ($stmt->execute()) {
        echo "金额累加成功！更新了 " . $stmt->affected_rows . " 条记录";
    } else {
        echo "更新失败: " . $stmt->error;
    }

    // 关闭语句和连接
    $stmt->close();
}

$conn->close();
?>

关键注意事项 #

• 必须指定WHERE条件：如果省略WHERE id = ?，会把表中所有记录的price都累加，这绝对是你不想看到的！
• 预处理语句的重要性：直接拼接SQL会导致SQL注入漏洞，预处理能完全避免这个问题，一定要用！
• 输入验证：一定要检查用户输入的是有效数字，防止恶意输入破坏数据库或业务逻辑。
• 字段类型：确保你的price字段是数值类型（比如DECIMAL(10,2)、INT、FLOAT等），字符串类型无法直接做累加运算。

内容的提问来源于stack exchange，提问作者Hamza Ali