动态建表需确保安全可控：通过白名单校验字段类型与标识符，严格映射MySQL类型，强制表名前缀与正则校验，兼容不同MySQL版本语法，并执行权限检查与SQL预览。

PHP 动态生成建表语句本身不难，难点在于「安全」和「可控」——你不能把用户输入直接拼进 CREATE TABLE，也不能忽略字段类型映射、索引约束、字符集兼容等细节。下面直奔实操。

用数组定义表结构再转 SQL

这是最稳妥的起点：把表结构抽象成 PHP 数组，再由函数统一渲染为 SQL。避免字符串拼接错误，也方便校验和复用。

关键点：

• type 字段必须映射到真实 MySQL 类型（如 'string' → VARCHAR(255)，'int' → INT UNSIGNED）
• 主键、自增、非空、默认值需显式声明，不能依赖隐式约定
• 字段名必须通过 preg_match('/^[a-zA-Z_][a-zA-Z0-9_]*$/', $field) 校验，拒绝含点、反引号、空格等非法字符
• 表名同样要校验，且建议强制加前缀（如 prefix_）防止冲突

$schema = [
    'table' => 'user_log',
    'charset' => 'utf8mb4',
    'collate' => 'utf8mb4_unicode_ci',
    'fields' => [
        'id' => ['type' => 'big_int', 'auto_increment' => true, 'primary' => true],
        'user_id' => ['type' => 'int', 'unsigned' => true, 'not_null' => true],
        'action' => ['type' => 'string', 'length' => 50, 'not_null' => true],
        'created_at' => ['type' => 'datetime', 'default' => 'CURRENT_TIMESTAMP'],
    ],
    'indexes' => [
        ['type' => 'index', 'fields' => ['user_id']],
        ['type' => 'index', 'fields' => ['action', 'created_at']],
    ],
];

避免 SQL 注入的核心防线

动态建表最危险的操作，就是把未过滤的变量直接插进 CREATE TABLE。哪怕只是表名或字段名，也不能用 mysqli_real_escape_string() 或 addslashes() —— 这些对标识符无效。

立即学习“PHP免费学习笔记（深入）”；

正确做法只有一条：白名单校验 + 预定义映射。

• 所有字段类型只允许从固定数组中取值：['int', 'big_int', 'string', 'text', 'datetime', 'boolean']
• 所有约束关键词（PRIMARY KEY、UNIQUE、INDEX）必须硬编码生成，不接受用户传入
• 表名/字段名用正则强制匹配：/^[a-zA-Z_][a-zA-Z0-9_]{0,63}$/（MySQL 标识符最大长度 64）
• 绝对不要用 sprintf('CREATE TABLE %s (...)', $table_name) —— 即使加了引号也不安全

处理 MySQL 特定语法差异

不同 MySQL 版本对语法支持不同。比如 JSON 类型要求 ≥ 5.7，GENERATED COLUMN 要求 ≥ 5.7.6，而 utf8mb4_0900_as_cs 排序规则只在 8.0+ 可用。

如果你的系统要兼容低版本，就得降级处理：

• 遇到 'type' => 'json'，但 MySQL TEXT 并记录 warning
• datetime 字段带 default => 'CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP' → 拆成两个独立子句，否则 5.6 不支持
• 显式指定 ENGINE=InnoDB，不依赖 MySQL 默认引擎（尤其在老版本或自定义配置下）
• 字符集统一用 utf8mb4，但避免使用 8.0 新增的排序规则，除非明确检测过版本

执行前务必做 SQL 预览与权限检查

别急着 mysqli_query()。先输出完整 SQL 让人眼审，再查当前数据库用户是否有 CREATE 权限。

示例检查逻辑：

$sql = build_create_table_sql($schema);
echo "预览 SQL:\n" . $sql . "\n";

// 检查权限
$result = mysqli_query($link, "SHOW GRANTS FOR CURRENT_USER");
$grants = mysqli_fetch_all($result, MYSQLI_NUM);
$has_create = false;
foreach ($grants as $grant) {
    if (stripos($grant[0], 'CREATE') !== false && stripos($grant[0], 'TABLE') !== false) {
        $has_create = true;
        break;
    }
}
if (!$has_create) {
    throw new Exception('当前数据库用户缺少 CREATE TABLE 权限');
}

真正执行时，还应包裹在事务里（如果引擎支持），并捕获 1050（表已存在）、1146（数据库不存在）等常见错误码做差异化处理。

动态建表不是“写个循环拼 SQL”就完事。字段类型映射是否完备、标识符校验是否严格、MySQL 版本兼容是否覆盖、执行权限与错误反馈是否到位——漏掉任意一环，上线后都可能变成线上事故的引信。