MySQL 中的 PDO::ATTR_EMULATE_PREPARES：启用还是禁用？

PDO MySQL：PDO::ATTR_EMULATE_PREPARES 的使用

简介

使用时MySQL PDO，决定是否启用PDO::ATTR_EMULATE_PREPARES 对性能和安全性具有重大影响。本文研究了此设置的细微差别，并为根据特定要求做出明智的选择提供指导。

性能注意事项

虽然有人建议 PDO 的准备模拟通过绕过 MySQL 的本机查询缓存来增强性能，但这种说法对于现代版本的 MySQL 不再有效。从 MySQL 5.1.17 开始，prepared 语句可以有效利用查询缓存。

安全性

与普遍看法相反，PDO::ATTR_EMULATE_PREPARES 不会影响 prepared 语句的安全性声明。无论模拟设置如何，参数值都会被一致地转义以防止 SQL 注入。唯一的区别在于参数替换发生的位置。启用模拟时，它发生在 PDO 库中，而禁用模拟时，它发生在 MySQL 服务器上。

错误报告

使用本机准备的一个优点语句改进了错误报告。语法错误是在准备期间而不是执行期间检测到的。这对于开发和调试目的是有益的。

其他注意事项

另一个需要考虑的因素是使用本机准备语句的潜在成本。每个prepare()操作都会产生开销，这可能会导致一次性准备好的语句的性能稍微降低。

建议

基于最新版本的MySQL和PHP ，通常建议禁用 PDO::ATTR_EMULATE_PREPARES。这确保了使用本机准备好的语句，提供更好的错误报告以及为多个连接重用查询计划的能力。

最佳实践示例

以下代码片段展示了具有首选设置的 PDO 连接函数，包括禁用 PDO::ATTR_EMULATE_PREPARES:

function connect_PDO($settings)
{
    $dsn = 'mysql:' . implode(';', $dsnpairs);
    $dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options);

    // Disable PDO emulation
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    return $dbh;
}

以上是MySQL 中的 PDO::ATTR_EMULATE_PREPARES：启用还是禁用？的详细内容。更多信息请关注PHP中文网其他相关文章！