为什么 MySQLi 准备了语句？

Question

在 MySQLi 中使用准备好的语句有哪些优点？

如果唯一的目的是保护查询，那么使用 mysqli_real_escape_string 之类的东西清理查询不是更好，而不是为每个查询编写这么多行代码（例如准备、bind_param、执行、关闭， ETC。）？

Answer 1

准备语句不仅仅是为了代码安全。它帮助 SQL Server 解析您的语句并为您的查询生成执行计划。

如果您运行 SELECT 1000 次，那么 SQL Server 将必须解析、准备并生成如何获取数据 1000 次的计划。

如果您准备一条语句，然后每次使用不同的绑定值运行准备好的语句 1,000 次，则该语句仅解析一次，并且每次都使用相同的查询计划。

这不仅在您在脚本内运行 1,000 个查询时有帮助，而且在您只有 1 个语句并运行脚本 1,000 次时也有帮助。服务器可以记住服务器端的计划。下次运行脚本时，它将再次使用相同的计划。

当然，对于一两个查询来说，这似乎微不足道，但是当您开始执行大量查询或重复执行同一查询时，您将节省大量处理时间。

Answer 2

有几个优点：

• 安全性 - 你不需要转义任何东西，你只需要绑定参数。
• 正确性 - 如果您编写 WHERE $x = 4 如果 $x 为 null，则会出现语法错误，但 WHERE ? = 4 就可以了。
• 性能 - 准备好的查询可以与不同的参数一起重用，从而节省了重建字符串以及在服务器上重新解析的时间。
• 可维护性——代码更容易阅读。当连接字符串来创建 SQL 时，很容易会出现大量 SQL 和 PHP 代码小片段混合在一起的情况。使用准备好的语句可以鼓励您将 SQL 与确定变量值分开。