使用 PREPARE 命令(SQL) 与 PDO 或 mysqli 函数

Question

我使用 PHP 开发 Web 应用程序并使用 MySQL 作为数据库。我正在尝试了解准备好的语句的用法，并且只是迈出第一步。

据我了解，预备语句主要是为了：

1. 提高查询效率（预解析、缓存执行计划、客户端和服务器之间

2. 确保免受代码注入攻击（对此并不完全清楚，但我想我有基本的了解）

（可能还有其他用途）

问题是，

为什么不直接使用 MySQL 提供的 PREPARE 语句并预先准备好语句，然后使用这些语句在你的 PHP 应用程序中，是 PDO 还是 mysqli？更好的是，使用这些准备好的语句创建存储过程并仅将这些语句公开给 PHP 程序员？

这样，进行正确查询的实际负担就由数据库程序员分离/处理。 PHP程序员可以完全只专注于应用程序的实现和优化。

我预计我很快就会使用的数据库不会发生任何变化。 MySQL 满足所有要求。但为了保持我的应用程序干净且与数据库无关，我可以使用 PDO。或者坚持程序编码并执行 mysqli

这是构建应用程序的有效/经过尝试和测试的方法吗？

谢谢

Answer 1

PREPARE 语句的结果有些特殊，不能返回给用户。当然，您可以通过存储在 MySQL 中的变量中来使用它。但是，这不是标准的。 MySQL 为您提供 API，以便 PDO 驱动程序利用它们，并且您可以编写与数据库无关的代码。我认为完全没有理由不这样做。在使用 PDO 的众多功能中，我特别喜欢 DBTNG（Drupal 7 DB 层剥离），因为我有一部分编写它:)和idiorm。