對(duì)于參數(shù)綁定為何可以避免SQL注入�,建議題主可以了解一下,值得注意的是prepare語句只能解析一條SQL�����,下面摘要說明一下prepare的作用:
首先從mysql服務(wù)器執(zhí)行sql的過程開始講起�����,SQL執(zhí)行過程包括以下階段 詞法分析->語法分析->語義分析->執(zhí)行計(jì)劃優(yōu)化->執(zhí)行�。詞法分析->語法分析這兩個(gè)階段我們稱之為硬解析。詞法分析識(shí)別sql中每個(gè)詞���,語法分析解析SQL語句是否符合sql語法��,并得到一棵語法樹(Lex)����。對(duì)于只是參數(shù)不同�,其他均相同的sql,它們執(zhí)行時(shí)間不同但硬解析的時(shí)間是相同的���。而同一SQL隨著查詢數(shù)據(jù)的變化��,多次查詢執(zhí)行時(shí)間可能不同���,但硬解析的時(shí)間是不變的。對(duì)于sql執(zhí)行時(shí)間較短����,sql硬解析的時(shí)間占總執(zhí)行時(shí)間的比率越高。而對(duì)于淘寶應(yīng)用的絕大多數(shù)事務(wù)型SQL����,查詢都會(huì)走索引�����,執(zhí)行時(shí)間都比較短���。因此淘寶應(yīng)用db sql硬解析占的比重較大。
Prepare的出現(xiàn)就是為了優(yōu)化硬解析的問題�。Prepare在服務(wù)器端的執(zhí)行過程如下
1) Prepare 接收客戶端帶”?”的sql, 硬解析得到語法樹(stmt->Lex), 緩存在線程所在的preparestatement cache中。此cache是一個(gè)HASH MAP. Key為stmt->id. 然后返回客戶端stmt->id等信息��。
2) Execute 接收客戶端stmt->id和參數(shù)等信息���。注意這里客戶端不需要再發(fā)sql過來�。服務(wù)器根據(jù)stmt->id在preparestatement cache中查找得到硬解析后的stmt, 并設(shè)置參數(shù)�,就可以繼續(xù)后面的優(yōu)化和執(zhí)行了。
Prepare在execute階段可以節(jié)省硬解析的時(shí)間�����。如果sql只執(zhí)行一次�,且以prepare的方式執(zhí)行,那么sql執(zhí)行需兩次與服務(wù)器交互(Prepare和execute), 而以普通(非prepare)方式����,只需要一次交互���。這樣使用prepare帶來額外的網(wǎng)絡(luò)開銷����,可能得不償失。我們?cè)賮砜赐籹ql執(zhí)行多次的情況�,比如以prepare方式執(zhí)行10次,那么只需要一次硬解析��。這時(shí)候 額外的網(wǎng)絡(luò)開銷就顯得微乎其微了�����。因此prepare適用于頻繁執(zhí)行的SQL�����。
Prepare的另一個(gè)作用是防止sql注入���,不過這個(gè)是在客戶端jdbc通過轉(zhuǎn)義實(shí)現(xiàn)的���,跟服務(wù)器沒有關(guān)系。
建議題主看下MySQL官方文檔(https://dev.mysql.com/doc/ref...)�����。什么?看不懂英文�����?試試百度翻譯吧:https://fanyi.baidu.com
