正常情况下,客户端向mysql数据库发送的是一个完整的sql语句(字符串)。mysql收到这个字符串后,解析sql(“编译”)、执行sql、返回结果。但这样的字符串sql可能会有攻击行为,比如sql注入的风险(select * from user where 1=1;delete from user本来是想查一下用户表中的数据,结果被黑客做了sql注入,删除了user表)。
如果在客户端进行预编译后,那么客户端向mysql发送的就不是一条普通的sql,而是分两次发送。第一次发送的是带参数的sql(不能直接执行),第二次发送参数和值。mysql接收到后,省略了解析sql的过程(性能比第一种稍好一些),因为第一次发来的sql中有占位符,所以mysql只需要把占位符用第二次发过来的值填充就好了。这时候的攻击语句会被当成变量来处理,用于攻击的特殊符号会被直接转义掉。从而失去攻击的作用