對(duì)于參數(shù)綁定為何可以避免SQL注入,建議題主可以了解一下����,值得注意的是prepare語句只能解析一條SQL,下面摘要說明一下prepare的作用:
首先從mysql服務(wù)器執(zhí)行sql的過程開始講起�,SQL執(zhí)行過程包括以下階段 詞法分析->語法分析->語義分析->執(zhí)行計(jì)劃優(yōu)化->執(zhí)行。詞法分析->語法分析這兩個(gè)階段我們稱之為硬解析���。詞法分析識(shí)別sql中每個(gè)詞�����,語法分析解析SQL語句是否符合sql語法���,并得到一棵語法樹(Lex)���。對(duì)于只是參數(shù)不同,其他均相同的sql���,它們執(zhí)行時(shí)間不同但硬解析的時(shí)間是相同的����。而同一SQL隨著查詢數(shù)據(jù)的變化��,多次查詢執(zhí)行時(shí)間可能不同��,但硬解析的時(shí)間是不變的�。對(duì)于sql執(zhí)行時(shí)間較短,sql硬解析的時(shí)間占總執(zhí)行時(shí)間的比率越高����。而對(duì)于淘寶應(yīng)用的絕大多數(shù)事務(wù)型SQL,查詢都會(huì)走索引�����,執(zhí)行時(shí)間都比較短��。因此淘寶應(yīng)用db sql硬解析占的比重較大��。
Prepare的出現(xiàn)就是為了優(yōu)化硬解析的問題�。Prepare在服務(wù)器端的執(zhí)行過程如下
1) Prepare 接收客戶端帶”?”的sql, 硬解析得到語法樹(stmt->Lex), 緩存在線程所在的preparestatement cache中。此cache是一個(gè)HASH MAP. Key為stmt->id. 然后返回客戶端stmt->id等信息����。
2) Execute 接收客戶端stmt->id和參數(shù)等信息。注意這里客戶端不需要再發(fā)sql過來�����。服務(wù)器根據(jù)stmt->id在preparestatement cache中查找得到硬解析后的stmt, 并設(shè)置參數(shù)�,就可以繼續(xù)后面的優(yōu)化和執(zhí)行了。
Prepare在execute階段可以節(jié)省硬解析的時(shí)間�����。如果sql只執(zhí)行一次�����,且以prepare的方式執(zhí)行�����,那么sql執(zhí)行需兩次與服務(wù)器交互(Prepare和execute), 而以普通(非prepare)方式��,只需要一次交互。這樣使用prepare帶來額外的網(wǎng)絡(luò)開銷�����,可能得不償失�。我們?cè)賮砜赐籹ql執(zhí)行多次的情況,比如以prepare方式執(zhí)行10次�����,那么只需要一次硬解析�。這時(shí)候 額外的網(wǎng)絡(luò)開銷就顯得微乎其微了。因此prepare適用于頻繁執(zhí)行的SQL����。
Prepare的另一個(gè)作用是防止sql注入,不過這個(gè)是在客戶端jdbc通過轉(zhuǎn)義實(shí)現(xiàn)的�����,跟服務(wù)器沒有關(guān)系���。
建議題主看下MySQL官方文檔(https://dev.mysql.com/doc/ref...)�。什么�����?看不懂英文����?試試百度翻譯吧:https://fanyi.baidu.com
