PDO MySQL：您应该启用 PDO::ATTR_EMULATE_PREPARES 吗？

PDO MySQL：您应该使用 PDO::ATTR_EMULATE_PREPARES 吗？

您正在考虑使用 PDO 来实现其安全准备好的语句和命名参数。但是，您担心平衡性能和安全性。让我们深入研究一下 PDO 模拟模式的优缺点。

性能与安全性

PDO::ATTR_EMULATE_PREPARES 可以增强性能，但可能会损害安全性。模拟准备语句使用字符串连接而不是 MySQL 的本机二进制协议进行参数替换。虽然这可能更快，但它无法提供与本机准备语句相同的针对 SQL 注入的保护。

错误处理

使用本机准备语句，语法错误是准备过程中检测到。然而，通过仿真，它们只能在执行时被检测到。这可能会影响错误处理和调试。

查询缓存

旧版本的 MySQL（5.1.17 之前）无法将预准备语句与查询缓存一起使用。但是，版本 5.1.17 及更高版本甚至可以缓存准备好的查询。

MySQL 版本 5.1.61 和 PHP 版本 5.3.2

针对您的特定版本的 MySQL 和PHP，您有以下选项：

• 启用PDO::ATTR_EMULATE_PREPARES: 这会给你带来稍微更好的性能。但是，请记住，这可能会增加 SQL 注入的风险。
• 禁用 PDO::ATTR_EMULATE_PREPARES: 这将提供更好的安全性。但是，如果您不重用准备好的语句，可能会影响性能。

建议

如果您很少在单个请求中重用准备好的语句，并且性能会下降作为优先事项，启用仿真可能是一个可行的选择。但是，如果安全性至关重要，强烈建议禁用模拟。

其他注意事项：

• 本机预准备语句具有固定的准备成本，这可能会导致如果您不重用它们，则会影响性能。
• 您可以自定义 PDO 连接设置以适合您的特定情况

通过仔细考虑上面讨论的利弊，您可以做出明智的决定，平衡性能与安全性。

以上是PDO MySQL：您应该启用 PDO::ATTR_EMULATE_PREPARES 吗？的详细内容。更多信息请关注PHP中文网其他相关文章！