PHP 使用数据库事务的嵌套问题与防范

一、背景与术语

• 事务（Transaction）：一组读写操作的原子单元，要么全部成功提交（COMMIT），要么全部回滚（ROLLBACK）。
• 嵌套事务（Nested Transaction）：在已有事务上下文中再次启动事务的行为。严格意义上，MySQL 不支持真正的“事务嵌套”，而是通过 SAVEPOINT（保存点）实现“局部回滚”，各框架通常用保存点模拟嵌套。

关键事实：InnoDB 每个连接同一时刻仅能有一个活动事务。再次 BEGIN 并不会创建新事务层级；嵌套行为需要以 SAVEPOINT/ROLLBACK TO SAVEPOINT 来模拟。

二、MySQL 与常见 PHP 库的行为

• MySQL/InnoDB

  • 支持 START TRANSACTION/BEGIN 打开事务。
  • 支持 SAVEPOINT name、ROLLBACK TO SAVEPOINT name、RELEASE SAVEPOINT name。
  • 不支持真正的嵌套事务；“嵌套”通常是应用层计数+保存点模拟。
  • DDL（如 CREATE/ALTER/DROP TABLE）会发生隐式提交（implicit commit），破坏期望的事务边界。

• PHP PDO

  • PDO::beginTransaction() 开启事务；再次调用可能报错（已在事务中）。
  • 不内建保存点 API，需要用 exec('SAVEPOINT ...') 等手写。
  • PDO::inTransaction() 可判断当前连接是否处于事务中。

• 框架/库（示意）

  • Laravel DB::transaction()：支持嵌套（用 SAVEPOINT）；异常自动回滚。
  • Doctrine DBAL：可开启“嵌套用保存点”的模式（setNestTransactionsWithSavepoints(true)）。
  • 其他库：多为“事务深度计数 + 保存点”的策略，行为存在差异。

三、事务嵌套可能引发的问题

1. 误以为“内层事务”能独立提交/回滚

• 事实：MySQL 没有独立的内层事务，只有保存点。内层 COMMIT 实质是最外层的提交；内层“回滚”需要明确到保存点。
• 风险：内层代码 commit() 过早导致整个事务提交；或 rollback() 回滚过多，撤销外层工作。

2. 保存点使用不当导致状态混乱

• 未创建或误用保存点名称，回滚范围不符合预期。
• 忘记 RELEASE SAVEPOINT 或过早释放，后续 ROLLBACK TO 失败。
• 在多层保存点下错误地回滚到较早的保存点，丢失中间成功操作。

3. 锁持有时间延长、死锁概率增加

• 内外层逻辑叠加，事务边界扩大，持锁时间变长，竞争加剧。
• 长事务还会增加 undo/redo 日志压力和死锁检测开销。

4. 异常处理和重试逻辑复杂化

• 内层失败后是否继续外层？是否只回滚到保存点？不同团队代码风格不一致，导致可维护性差。
• 重试策略若不考虑保存点，可能重复执行已成功的部分逻辑。

5. DDL 与隐式提交破坏嵌套语义

• 在事务中执行 DDL 语句，MySQL 会在执行前后隐式 COMMIT，保存点与嵌套策略全部失效，产生“已提交”的侧效。

6. 连接与事务上下文错配

• 使用连接池或协程/异步环境时，事务上下文绑定到连接；不当的连接切换导致事务分裂或跨连接操作，出现“部分提交”的风险。

7. 框架行为认知偏差

• 不同版本/不同框架的嵌套策略差异（是否默认使用保存点），团队成员易误用 API，造成不可预期行为。

四、工程实践中的防范与治理策略

A. 明确“事务边界”的单元划分

• 在服务/用例层定义清晰的事务边界，避免在领域/仓储方法中随手开启事务。
• 使用“Unit of Work”思想：外部决定是否在事务中执行，内部方法不直接 begin/commit。

B. 统一事务管理器（封装保存点语义）

• 设计一个事务管理器，跟踪“事务深度”，只有最外层执行 BEGIN/COMMIT/ROLLBACK；内层用 SAVEPOINT。
• 在出现异常时：若是内层，回滚到最近保存点并抛出；若是最外层，则做全量回滚。

C. API 约定与静态检测

• 禁止在持久层函数中直接 commit()；外层统一决定提交。
• 通过代码规范/静态分析标记敏感 API 的使用范围。

D. 避免 DDL 进入事务

• 将 DDL 与数据变更分离；使用迁移工具在独立窗口执行。
• 如果必须在同一流程中做 DDL，确保它与 DML 的事务边界隔离。

E. 控制事务时间与粒度

• 尽量缩短事务时间（< 数百毫秒），减少锁持有与死锁概率。
• 将只读查询移出事务；必要时使用更适合的隔离级别与 SELECT ... LOCK IN SHARE MODE/ FOR UPDATE。

F. 清晰的异常/重试策略

• 为“死锁/锁等待超时”等可重试错误配套幂等逻辑与重试上限。
• 重试应从最外层事务重新开始，而非在保存点处“局部重跑”，避免状态不一致。

G. 日志与监控

• 记录事务深度、保存点操作、提交/回滚事件与耗时。
• 监控死锁、锁等待、长事务、Innodb_row_lock_time 等指标。

H. 框架配置与约束

• Laravel：默认支持嵌套事务保存点，了解其行为；必要时在团队规范中禁止内层直接 commit。
• Doctrine：启用 setNestTransactionsWithSavepoints(true)，同时规范使用 begin/commit/rollback。

五、PDO 实践示例：支持嵌套的事务管理器

下面的简化示例展示如何在 PDO 中实现“事务深度 + 保存点”的统一封装。

<?php
final class TransactionManager {
    private PDO $pdo;
    private int $depth = 0;

    public function __construct(PDO $pdo) {
        $this->pdo = $pdo;
        // 建议启用异常模式
        $this->pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    }

    public function begin(): void {
        if ($this->depth === 0) {
            $this->pdo->exec('START TRANSACTION'); // 或 BEGIN
        } else {
            $sp = $this->savepointName($this->depth);
            $this->pdo->exec("SAVEPOINT {$sp}");
        }
        $this->depth++;
    }

    public function commit(): void {
        if ($this->depth === 0) {
            throw new RuntimeException('Commit called without an active transaction');
        }
        $this->depth--;
        if ($this->depth === 0) {
            $this->pdo->exec('COMMIT');
        } else {
            // 释放当前层的保存点（可选）
            $sp = $this->savepointName($this->depth);
            $this->pdo->exec("RELEASE SAVEPOINT {$sp}");
        }
    }

    public function rollback(?int $toDepth = null): void {
        if ($this->depth === 0) return;

        if ($toDepth === null) {
            // 回滚最外层
            $this->pdo->exec('ROLLBACK');
            $this->depth = 0;
            return;
        }

        if ($toDepth < 0 || $toDepth >= $this->depth) {
            throw new InvalidArgumentException('Invalid rollback depth');
        }

        // 回滚到指定保存点
        $sp = $this->savepointName($toDepth);
        $this->pdo->exec("ROLLBACK TO SAVEPOINT {$sp}");
        // 释放更深层的保存点（从最深层往上释放到 toDepth+1）
        for ($d = $this->depth - 1; $d > $toDepth; $d--) {
            $spRelease = $this->savepointName($d);
            $this->pdo->exec("RELEASE SAVEPOINT {$spRelease}");
        }
        $this->depth = $toDepth + 1; // 停在保存点创建之后的层
    }

    public function transactional(callable $fn) {
        $this->begin();
        try {
            $result = $fn($this->pdo, $this);
            $this->commit();
            return $result;
        } catch (\Throwable $e) {
            // 回滚到当前层的保存点或整个事务
            if ($this->depth > 1) {
                $this->rollback($this->depth - 2);
            } else {
                $this->rollback();
            }
            throw $e;
        }
    }

    private function savepointName(int $depth): string {
        // 根据深度生成稳定的保存点名
        return 'sp_' . $depth;
    }
}

使用方式（外层统一控制事务边界）：

$tm = new TransactionManager($pdo);

try {
    $tm->transactional(function (PDO $pdo, TransactionManager $tm) {
        $pdo->exec("UPDATE accounts SET balance = balance - 100 WHERE id = 1");

        // 内层逻辑：若失败仅回滚到保存点，不影响外层其他操作
        $tm->transactional(function (PDO $pdo) {
            $pdo->exec("INSERT INTO ledger(user_id, amount) VALUES (1, -100)");
            // 如果这里抛异常，将只回滚到内层保存点
        });

        $pdo->exec("UPDATE accounts SET balance = balance + 100 WHERE id = 2");
    });
} catch (\Throwable $e) {
    // 全量回滚已经在管理器中处理
    // 统一错误上报/重试
}

注意：

• 最外层的 COMMIT/ROLLBACK 由管理器统一执行；内部函数禁止手动提交。
• 避免在事务中执行 DDL；否则隐式提交会破坏保存点策略。

六、示例：禁止嵌套，只允许最外层事务

某些团队更偏向“只允许最外层”，内层不再创建保存点，只在失败时向外抛异常，由外层统一回滚。

<?php
final class SimpleTx {
    private PDO $pdo;
    private int $depth = 0;

    public function __construct(PDO $pdo) {
        $this->pdo = $pdo;
        $this->pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    }

    public function transactional(callable $fn) {
        $startNew = ($this->depth === 0);
        if ($startNew) {
            $this->pdo->exec('START TRANSACTION');
        }
        $this->depth++;

        try {
            $result = $fn($this->pdo, $this);
            $this->depth--;
            if ($startNew && $this->depth === 0) {
                $this->pdo->exec('COMMIT');
            }
            return $result;
        } catch (\Throwable $e) {
            $this->depth--;
            if ($startNew && $this->depth === 0) {
                $this->pdo->exec('ROLLBACK');
            }
            // 不做局部回滚；将错误抛给外层
            throw $e;
        }
    }
}

优点：语义简单，避免保存点误用。缺点：内层失败会导致整个事务回滚，可能需要拆分逻辑。

七、常见排错清单

• 内层代码调用了 commit()：应当移除，改由事务管理器统一控制。
• 在事务中执行 DDL：会发生隐式提交，务必将 DDL 移出事务。
• 死锁/锁等待超时：缩短事务、减少扫描范围、合理索引、调整访问顺序；对可重试错误进行幂等重试。
• PDO::inTransaction() 返回 true，但你认为没有事务：确认是否外层已启动；检查连接是否复用。
• 保存点名称冲突或释放顺序错误：为每层生成唯一名称，并按深度栈正确释放。
• 框架差异：阅读当前版本文档，确认嵌套策略（是否启用保存点）及异常传播方式。

八、实践建议速记

• 事务边界由上层统一管理；内部方法不直接提交/回滚。
• 明确选择“使用保存点”或“禁止嵌套”的团队策略，并封装为统一工具。
• 事务尽可能短；读操作尽量避开事务。
• 不在事务中执行 DDL。
• 对可能失败的步骤（外键、唯一约束、余额扣减）提前校验，减少长事务失败概率。
• 记录事务事件与耗时，观察长事务与锁等待。

九、案例与反例：Laravel DB::transaction() 使用不当导致损失

以下案例基于 MySQL InnoDB 与 Laravel 8/9/10 的默认行为：DB::transaction() 支持嵌套并用保存点实现局部回滚；若闭包抛出异常，框架回滚；若闭包正常返回，框架提交。

案例 1：错误地用“返回值”控制提交/回滚，导致错误被悄然提交

反例（开发者以为返回 false 会回滚，实际不会——只有异常才触发回滚）：

DB::transaction(function () use ($orderId) {
    $order = Order::findOrFail($orderId);
    if (!$order->isPayable()) {
        // 误以为返回 false 会回滚
        return false;
    }
    $order->status = 'paid';
    $order->save();

    Payment::create([...]);
    // 闭包返回到此结束，事务被提交（造成错误状态被提交）
});

修正：

DB::transaction(function () use ($orderId) {
    $order = Order::findOrFail($orderId);
    if (!$order->isPayable()) {
        throw new \RuntimeException('Order not payable'); // 抛异常触发回滚
    }
    $order->status = 'paid';
    $order->save();

    Payment::create([...]);
});

要点：

• DB::transaction() 仅在闭包抛出异常时回滚；返回值不影响提交。
• 若需“软失败”，外层在事务外处理；事务内必须明确异常来保证一致性。

案例 2：内层事务捕获异常但不抛出，外层继续提交，造成资金或库存丢失

反例：

DB::transaction(function () use ($fromId, $toId) {
    Account::lockForUpdate()->find($fromId)->decrement('balance', 100);

    // 内层嵌套事务：记账分录（可能唯一约束冲突）
    DB::transaction(function () use ($fromId) {
        try {
            Ledger::create(['user_id' => $fromId, 'amount' => -100, 'type' => 'transfer']);
        } catch (\Throwable $e) {
            Log::warning('Ledger write failed: '.$e->getMessage());
            // 未抛出异常，导致内层事务被框架提交（保存点释放），外层仍继续
        }
    });

    Account::lockForUpdate()->find($toId)->increment('balance', 100);
    // 外层闭包结束后提交，造成“资金转移成功但没有记账分录”的数据不一致
});

修正：

DB::transaction(function () use ($fromId, $toId) {
    Account::lockForUpdate()->find($fromId)->decrement('balance', 100);

    DB::transaction(function () use ($fromId) {
        Ledger::create(['user_id' => $fromId, 'amount' => -100, 'type' => 'transfer']);
    }); // 让异常向外冒泡，事务按层级正确回滚

    Account::lockForUpdate()->find($toId)->increment('balance', 100);
});

要点：

• 切勿在事务闭包内吞异常。异常必须向外冒泡以触发正确的回滚。
• 若确需局部回滚，请明确捕获后重新抛出业务异常，终止外层提交。

案例 3：混入 DDL（迁移或 Schema 操作）导致隐式提交，破坏事务一致性

反例：

DB::transaction(function () {
    Order::where('status', 'pending')->update(['status' => 'processing']);

    // 在事务中做 DDL（隐式 COMMIT），随后逻辑再失败也无法回滚
    Schema::table('orders', function (Blueprint $table) {
        $table->index('status');
    });

    // 其他更新...
    throw new \RuntimeException('Later failure'); // 无法回滚 DDL 带来的提交
});

修正：

• 将 DDL 放到迁移或部署环节，绝不在业务事务中执行。
• 如需动态增加索引，务必与 DML 分离到事务外，或使用在线变更策略且独立失败处理。

案例 4：跨连接写入（多数据库/多连接）导致“部分提交”

反例：

DB::transaction(function () {
    // 默认连接：业务库
    Order::create([...]);

    // 另一个连接：日志库（不在同一事务上下文）
    DB::connection('log')->table('biz_log')->insert([...]);

    // 若事务回滚，业务库回滚；日志库已提交，造成跨库不一致
});

防范：

• 避免在同一事务闭包中跨连接写入。将跨库写入移到事务外，或采用可靠消息/最终一致方案（本地消息表 + 异步投递）。
• 若必须跨库原子性，需分布式事务支持（不推荐在多数 Web 场景）。

案例 5：在事件监听器/模型事件中开启事务，嵌套行为不可控

反例：

DB::transaction(function () {
    $order = Order::create([...]);
    event(new OrderCreated($order)); // 监听器里不小心再开事务并提交

    // 后续代码失败，外层回滚；监听器中提交的数据却已持久化，出现“不一致”
});

修正：

• 事件监听器中禁止开启/提交事务；将数据库写入行为交由调用方在统一事务边界内处理。
• 如需在事务提交后触发外部副作用（消息队列/邮件），使用“afterCommit”钩子或在事务外触发。

案例 6：在事务中触发外部副作用（消息队列/HTTP），回滚仍无法撤销

反例：

DB::transaction(function () {
    Order::create([...]);
    Http::post('https://payment.example/pay', [...]); // 外部调用已发生
    // 之后事务失败并回滚，但外部支付已执行，造成对账差异
});

防范：

• 外部不可撤销副作用尽量放在事务提交之后执行；或使用“本地消息表 + 异步可靠投递”模式保证最终一致。

案例 7：手动 beginTransaction()/commit() 与 DB::transaction() 混用，破坏嵌套语义

反例：

DB::beginTransaction();

DB::transaction(function () {
    // Laravel 会创建保存点
    Order::create([...]);
    DB::commit(); // 手动提交打破嵌套计数，后续回滚失效或抛异常
});

DB::rollBack();

修正：

• 统一使用 DB::transaction()，避免与手动 begin/commit/rollback 混用。
• 若必须手动控制，请确保整个调用栈只用一种方式，并明确保存点策略。

十、团队治理建议：避免“损失型”事故的最小策略集

• 明确规范：事务闭包内只有异常才会回滚；禁止以返回值或日志替代异常。
• 禁止在事务内执行 DDL、跨连接写入、触发不可撤销外部副作用。
• 统一封装：为复杂用例提供服务层/应用层的事务门面，屏蔽内部随意开事务。
• 监控与审计：埋点记录事务开始/结束、异常/回滚原因、耗时、锁等待；按用例出报表。
• 代码评审重点：检查事务内是否有 try/catch 吞异常、是否混用手动与闭包事务、是否存在跨库写入。

参考

• MySQL Manual：START TRANSACTION, SAVEPOINT, ROLLBACK/COMMIT, Implicit Commit for DDL
• Laravel Docs：Database Transactions（嵌套事务与异常回滚行为）
• PDO Documentation：Transactions, inTransaction(), Error Modes
• Doctrine DBAL 与 Laravel 关于嵌套事务（保存点）策略的官方文档