PHP PDO 预处理是怎么缓存的呢?
最近出于以下两个原因,使用预处理SQL(prepare)。
效率高。
防SQL注入。
看了官方文档,php.net数据对象
但用起来还是感觉有点迷惑。
效率究竟会不会提升,预处理如果是相同预处理SQL,仅仅是换参数,那我想效率一定会提升的:但是,如果是下面这些情况:
//1. 在参数数量不一致的时候不能使用同一个预处理SQL。如下要使用两个预处理语句。
SELECT name FROM product WHERE product_id in (?, ?, ?, ?);
SELECT name FROM product WHERE product_id in (?, ?, ?, ?, ?);
//PS: 如果是参数数量比较多的话,不知道效率会不会比直接(12, 34, 45, 23...)慢,但直接用id列表不能预防SQL注入。
//2. 每次执行完预处理之后,再次执行相同的预处理,会不会速度更快。
$sql = 'SELECT name FROM product where product_id = ?';
$statement = PDO::prepare($preSql);
$product_id = 111;
$statement.bindParam(1, $product_id);
$statement->execute();
/*
最理想的情况是除掉注释的,直接使用$statement调用两次。
但是,平常一些SQL操作并不是这么连贯(同类型的SQL可能分开执行),并不好分析。
不能缓存$statement, 然后调用同一个$statement.
如果第一次执行完成后,方法已经结束(资源释放),第二次执行又重新prepare相同的SQL。
这时候不知道会不会调用缓存的预处理SQL,如果是缓存在DB,应该可以调用。
但如果缓存在PHP的话,感觉应该又要重新处理了,这样感觉没有直接使用不预处理的SQL效率高。
*/
//$sql = 'SELECT name FROM product where product_id = ?';
//$statement = PDO::prepare($preSql);
$product_id = 123;
//$statement.bindParam(1, $product_id);
$statement->execute();
/*
同理在处理ORDER的时候,如果缓存能生效使用参数,是最好的.
这样的话,就可以不用重新预处理SQL。也可以防SQL注入。
*/
感觉写了这些,最主要的是想知道PDO perpare是怎么缓存的?或者有类似的文档也行(英文的也可以)。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
预处理语句的主要作用有以下两点:
1.更安全,PDO或底层数据库的库会特别照顾那些没有采取约束条件的绑定变量.如果你总是使用预处理语句,你将不会容易受到SQL的注入攻击。
2.有时候查询可能更快,许多数据库会缓存查询计划里的预处理语句,并用符号参照事先准备好声明,而不是重新传输整个查询文本。最明显的是,你只要声明过一次预处理对象,后面就能在遇到不同变量时重用该预处理语句对象。
这两个中,更安全显然是更加重要的,这使得预处理语句缺一不可。效率高的话我觉得可能是在多个预处理中它都使用同个对象,这部分提高了效率。
原贴