首页  >  文章  >  后端开发  >  PHP PDO 预处理是怎么缓存的呢?

PHP PDO 预处理是怎么缓存的呢?

WBOY
WBOY原创
2016-09-15 11:31:001369浏览

最近出于以下两个原因,使用预处理SQL(prepare)。

  1. 效率高。

  2. 防SQL注入。

看了官方文档,php.net数据对象

但用起来还是感觉有点迷惑。

效率究竟会不会提升,预处理如果是相同预处理SQL,仅仅是换参数,那我想效率一定会提升的:但是,如果是下面这些情况:

<code>//1. 在参数数量不一致的时候不能使用同一个预处理SQL。如下要使用两个预处理语句。
SELECT name FROM product WHERE product_id in (?, ?, ?, ?);
SELECT name FROM product WHERE product_id in (?, ?, ?, ?, ?);

//PS: 如果是参数数量比较多的话,不知道效率会不会比直接(12, 34, 45, 23...)慢,但直接用id列表不能预防SQL注入。

//2. 每次执行完预处理之后,再次执行相同的预处理,会不会速度更快。
$sql = 'SELECT name FROM product where product_id = ?';
$statement = PDO::prepare($preSql);

$product_id = 111;
$statement.bindParam(1, $product_id);
$statement->execute();

/*
最理想的情况是除掉注释的,直接使用$statement调用两次。
但是,平常一些SQL操作并不是这么连贯(同类型的SQL可能分开执行),并不好分析。
不能缓存$statement, 然后调用同一个$statement.
如果第一次执行完成后,方法已经结束(资源释放),第二次执行又重新prepare相同的SQL。
这时候不知道会不会调用缓存的预处理SQL,如果是缓存在DB,应该可以调用。
但如果缓存在PHP的话,感觉应该又要重新处理了,这样感觉没有直接使用不预处理的SQL效率高。
*/

//$sql = 'SELECT name FROM product where product_id = ?';
//$statement = PDO::prepare($preSql);

$product_id = 123;
//$statement.bindParam(1, $product_id);
$statement->execute();

/*
同理在处理ORDER的时候,如果缓存能生效使用参数,是最好的.
这样的话,就可以不用重新预处理SQL。也可以防SQL注入。
*/
</code>

感觉写了这些,最主要的是想知道PDO perpare是怎么缓存的?或者有类似的文档也行(英文的也可以)。

回复内容:

最近出于以下两个原因,使用预处理SQL(prepare)。

  1. 效率高。

  2. 防SQL注入。

看了官方文档,php.net数据对象

但用起来还是感觉有点迷惑。

效率究竟会不会提升,预处理如果是相同预处理SQL,仅仅是换参数,那我想效率一定会提升的:但是,如果是下面这些情况:

<code>//1. 在参数数量不一致的时候不能使用同一个预处理SQL。如下要使用两个预处理语句。
SELECT name FROM product WHERE product_id in (?, ?, ?, ?);
SELECT name FROM product WHERE product_id in (?, ?, ?, ?, ?);

//PS: 如果是参数数量比较多的话,不知道效率会不会比直接(12, 34, 45, 23...)慢,但直接用id列表不能预防SQL注入。

//2. 每次执行完预处理之后,再次执行相同的预处理,会不会速度更快。
$sql = 'SELECT name FROM product where product_id = ?';
$statement = PDO::prepare($preSql);

$product_id = 111;
$statement.bindParam(1, $product_id);
$statement->execute();

/*
最理想的情况是除掉注释的,直接使用$statement调用两次。
但是,平常一些SQL操作并不是这么连贯(同类型的SQL可能分开执行),并不好分析。
不能缓存$statement, 然后调用同一个$statement.
如果第一次执行完成后,方法已经结束(资源释放),第二次执行又重新prepare相同的SQL。
这时候不知道会不会调用缓存的预处理SQL,如果是缓存在DB,应该可以调用。
但如果缓存在PHP的话,感觉应该又要重新处理了,这样感觉没有直接使用不预处理的SQL效率高。
*/

//$sql = 'SELECT name FROM product where product_id = ?';
//$statement = PDO::prepare($preSql);

$product_id = 123;
//$statement.bindParam(1, $product_id);
$statement->execute();

/*
同理在处理ORDER的时候,如果缓存能生效使用参数,是最好的.
这样的话,就可以不用重新预处理SQL。也可以防SQL注入。
*/
</code>

感觉写了这些,最主要的是想知道PDO perpare是怎么缓存的?或者有类似的文档也行(英文的也可以)。

预处理语句的主要作用有以下两点:
1.更安全,PDO或底层数据库的库会特别照顾那些没有采取约束条件的绑定变量.如果你总是使用预处理语句,你将不会容易受到SQL的注入攻击。
2.有时候查询可能更快,许多数据库会缓存查询计划里的预处理语句,并用符号参照事先准备好声明,而不是重新传输整个查询文本。最明显的是,你只要声明过一次预处理对象,后面就能在遇到不同变量时重用该预处理语句对象。

这两个中,更安全显然是更加重要的,这使得预处理语句缺一不可。效率高的话我觉得可能是在多个预处理中它都使用同个对象,这部分提高了效率。

原贴

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn