要回答您的问题:
MySQL> = 5.1.17(或
PREPARE
andEXECUTE
语句为> = 5.1.21 )可以在查询缓存中使用准备好的语句。因此,您的MySQL + PHP版本可以在查询缓存中使用准备好的语句。但是,请注意MySQL文档中有关缓存查询结果的注意事项。存在许多无法缓存的查询或即使被缓存也无用的查询。以我的经验,无论如何,查询缓存通常不是一个很大的胜利。查询和模式需要特殊的构造才能最大程度地利用缓存。从长远来看,经常需要结束应用程序级缓存。本机准备对于安全性没有任何影响。伪准备的语句仍将转义查询参数值,它将仅在带有字符串的PDO库中完成,而不是在使用二进制协议的MySQL服务器上完成。换句话说,无论您的
EMULATE_PREPARES
设置如何,相同的PDO代码都同样容易受到(或不受攻击)注入攻击。唯一的区别是参数替换发生的位置-使用EMULATE_PREPARES
,它发生在PDO库中;没有EMULATE_PREPARES
,它发生在MySQL服务器上。如果没有,
EMULATE_PREPARES
您可能会在准备时而不是执行时得到语法错误;与EMULATE_PREPARES
您一起只会在执行时收到语法错误,因为PDO直到执行时才向MySQL提供查询。请注意, 这会影响您将编写的代码 !特别是如果您正在使用PDO::ERRMODE_EXCEPTION
!
附加注意事项:
prepare()
(使用本机预处理语句)的成本是固定的,因此prepare();execute()
使用本机预处理语句的速度可能比使用模拟的预备语句发布纯文本查询要慢一些。在许多数据库系统上,a的查询计划也prepare()
被缓存,并且可以与多个连接共享,但是我认为MySQL不会这样做。因此,如果不将准备好的语句对象用于多个查询,则整体执行速度可能会变慢。
作为最后的建议 ,我认为对于旧版本的MySQL + PHP,您应该模拟准备好的语句,但是对于最近的版本,您应该关闭模拟。
在编写了一些使用PDO的应用程序之后,我做了一个PDO连接功能,该功能我认为是最佳设置。您可能应该使用类似的方法或调整您的首选设置:
function connect_PDO($settings){ $emulate_prepares_below_version = '5.1.17'; $dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null); $dsnarr = array_intersect_key($settings, $dsndefaults); $dsnarr += $dsndefaults; // connection options I like $options = array( PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC ); // connection charset handling for old php versions if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) { $options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset']; } $dsnpairs = array(); foreach ($dsnarr as $k => $v) { if ($v===null) continue; $dsnpairs[] = "{$k}={$v}"; } $dsn = 'mysql:'.implode(';', $dsnpairs); $dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options); // Set prepared statement emulation depending on server version $serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION); $emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<')); $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares); return $dbh;}
