PHP PDO 预处理是怎么缓存的呢？

最近出于以下两个原因，使用预处理SQL(prepare)。

1. 效率高。

2. 防SQL注入。

看了官方文档，php.net数据对象

但用起来还是感觉有点迷惑。

效率究竟会不会提升，预处理如果是相同预处理SQL，仅仅是换参数，那我想效率一定会提升的：但是，如果是下面这些情况：

<code>//1. 在参数数量不一致的时候不能使用同一个预处理SQL。如下要使用两个预处理语句。
SELECT name FROM product WHERE product_id in (?, ?, ?, ?);
SELECT name FROM product WHERE product_id in (?, ?, ?, ?, ?);

//PS: 如果是参数数量比较多的话，不知道效率会不会比直接(12, 34, 45, 23...)慢，但直接用id列表不能预防SQL注入。

//2. 每次执行完预处理之后，再次执行相同的预处理，会不会速度更快。
$sql = 'SELECT name FROM product where product_id = ?';
$statement = PDO::prepare($preSql);

$product_id = 111;
$statement.bindParam(1, $product_id);
$statement->execute();

/*
最理想的情况是除掉注释的，直接使用$statement调用两次。
但是，平常一些SQL操作并不是这么连贯(同类型的SQL可能分开执行)，并不好分析。
不能缓存$statement, 然后调用同一个$statement.
如果第一次执行完成后，方法已经结束（资源释放），第二次执行又重新prepare相同的SQL。
这时候不知道会不会调用缓存的预处理SQL，如果是缓存在DB，应该可以调用。
但如果缓存在PHP的话，感觉应该又要重新处理了，这样感觉没有直接使用不预处理的SQL效率高。
*/

//$sql = 'SELECT name FROM product where product_id = ?';
//$statement = PDO::prepare($preSql);

$product_id = 123;
//$statement.bindParam(1, $product_id);
$statement->execute();

/*
同理在处理ORDER的时候，如果缓存能生效使用参数，是最好的.
这样的话，就可以不用重新预处理SQL。也可以防SQL注入。
*/
</code>

感觉写了这些，最主要的是想知道PDO perpare是怎么缓存的？或者有类似的文档也行（英文的也可以）。

回复内容：

最近出于以下两个原因，使用预处理SQL(prepare)。

1. 效率高。

2. 防SQL注入。

看了官方文档，php.net数据对象

但用起来还是感觉有点迷惑。

效率究竟会不会提升，预处理如果是相同预处理SQL，仅仅是换参数，那我想效率一定会提升的：但是，如果是下面这些情况：

<code>//1. 在参数数量不一致的时候不能使用同一个预处理SQL。如下要使用两个预处理语句。
SELECT name FROM product WHERE product_id in (?, ?, ?, ?);
SELECT name FROM product WHERE product_id in (?, ?, ?, ?, ?);

//PS: 如果是参数数量比较多的话，不知道效率会不会比直接(12, 34, 45, 23...)慢，但直接用id列表不能预防SQL注入。

//2. 每次执行完预处理之后，再次执行相同的预处理，会不会速度更快。
$sql = 'SELECT name FROM product where product_id = ?';
$statement = PDO::prepare($preSql);

$product_id = 111;
$statement.bindParam(1, $product_id);
$statement->execute();

/*
最理想的情况是除掉注释的，直接使用$statement调用两次。
但是，平常一些SQL操作并不是这么连贯(同类型的SQL可能分开执行)，并不好分析。
不能缓存$statement, 然后调用同一个$statement.
如果第一次执行完成后，方法已经结束（资源释放），第二次执行又重新prepare相同的SQL。
这时候不知道会不会调用缓存的预处理SQL，如果是缓存在DB，应该可以调用。
但如果缓存在PHP的话，感觉应该又要重新处理了，这样感觉没有直接使用不预处理的SQL效率高。
*/

//$sql = 'SELECT name FROM product where product_id = ?';
//$statement = PDO::prepare($preSql);

$product_id = 123;
//$statement.bindParam(1, $product_id);
$statement->execute();

/*
同理在处理ORDER的时候，如果缓存能生效使用参数，是最好的.
这样的话，就可以不用重新预处理SQL。也可以防SQL注入。
*/
</code>

感觉写了这些，最主要的是想知道PDO perpare是怎么缓存的？或者有类似的文档也行（英文的也可以）。

预处理语句的主要作用有以下两点：
1.更安全，PDO或底层数据库的库会特别照顾那些没有采取约束条件的绑定变量.如果你总是使用预处理语句，你将不会容易受到SQL的注入攻击。
2.有时候查询可能更快，许多数据库会缓存查询计划里的预处理语句，并用符号参照事先准备好声明，而不是重新传输整个查询文本。最明显的是，你只要声明过一次预处理对象，后面就能在遇到不同变量时重用该预处理语句对象。

这两个中，更安全显然是更加重要的，这使得预处理语句缺一不可。效率高的话我觉得可能是在多个预处理中它都使用同个对象，这部分提高了效率。

原贴