为了回答您的问题:
的MySQL> = 5.1.17(或> = 5.1.21为PREPARE
和EXECUTE
语句)can use prepared statements in the query cache。所以你的MySQL + PHP版本可以使用准备好的语句和查询缓存。但是,请仔细记录MySQL文档中用于缓存查询结果的注意事项。有许多类型的查询不能被缓存或者即使被缓存也没有用。在我的经验中,查询缓存通常不是一个非常大的胜利。查询和模式需要特殊的构造才能最大限度地利用缓存。无论如何,从长远来看,应用程序级高速缓存通常是必需的。
本地准备对安全性没有任何影响。伪准备语句仍然会跳过查询参数值,它只会在PDO库中使用字符串完成,而不是使用二进制协议在MySQL服务器上完成。换句话说,无论您的EMULATE_PREPARES
设置如何,相同的PDO代码同样容易受到(或不易受到)注入攻击。唯一的区别是发生参数替换的位置 - EMULATE_PREPARES
,它出现在PDO库中;没有EMULATE_PREPARES
,它发生在MySQL服务器上。
没有EMULATE_PREPARES
你可能在准备时而不是在执行时得到语法错误;与EMULATE_PREPARES
你只会在执行时得到语法错误,因为在执行时间之前PDO没有查询给MySQL。请注意,这会影响您将编写的代码!特别是如果您使用PDO::ERRMODE_EXCEPTION
!
另外的考虑:
- 有一个固定的成本
prepare()
(使用本机准备的语句),所以与本机准备语句的prepare();execute()
可以比发出一个纯文本查询慢一点使用模拟的准备好的语句。在许多数据库系统上,prepare()
的查询计划也被缓存,可能会与多个连接共享,但我不认为MySQL会这样做。所以如果你不重复使用你准备好的语句对象进行多个查询,你的整体执行速度可能会变慢。
作为最后一个建议,我想与旧版本的MySQL + PHP的,你应该效仿准备语句,但你很最新版本的你应该把仿真关闭。
编写使用PDO一些应用程序后,我做了一个PDO连接功能,具有什么,我认为是最好的设置。你或许应该使用这样或调整到您的首选设置:
/**
* Return PDO handle for a MySQL connection using supplied settings
*
* Tries to do the right thing with different php and mysql versions.
*
* @param array $settings with keys: host, port, unix_socket, dbname, charset, user, pass. Some may be omitted or NULL.
* @return PDO
* @author Francis Avila
*/
function connect_PDO($settings)
{
$emulate_prepares_below_version = '5.1.17';
$dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null);
$dsnarr = array_intersect_key($settings, $dsndefaults);
$dsnarr += $dsndefaults;
// connection options I like
$options = array(
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
);
// connection charset handling for old php versions
if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) {
$options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset'];
}
$dsnpairs = array();
foreach ($dsnarr as $k => $v) {
if ($v===null) continue;
$dsnpairs[] = "{$k}={$v}";
}
$dsn = 'mysql:'.implode(';', $dsnpairs);
$dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options);
// Set prepared statement emulation depending on server version
$serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION);
$emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<'));
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares);
return $dbh;
}
老实说?只要继续使用MySQLi。如果它已经在使用准备好的语句,PDO基本上是一个毫无意义的抽象层。 *编辑*:PDO对于您不确定哪些数据库将进入后端的绿色领域应用程序非常有用。 – jmkeyes 2012-04-12 01:59:12
对不起,我的问题之前还不清楚。我编辑过它。该应用程序目前不使用MySQLi中的预准备语句;只是mysqli_run_query()。从我读过的,MySQLi准备的语句也绕过了查询缓存。 – 2012-04-12 14:13:01