MYSQL4.1及更高版本支持服务器端准备语句(Prepared Statements), 它使用增强的二进制客户端/服务器协议在客户端和服务器之间高效的发送数据,可以通过支持这种行协议的编程库来访问准备语句,列入MYSQL CAPI,MYSQL Connector/J和MYSQL Connector/NET 为JAVA和.NET提供了同样的访问接口。它也有SQL语言的访问接口。
创建准备语句时,客户端库会像服务器发送一个实际查询的原型,然后服务器对该原型进行解析和处理,将部分优化过的原型保存起来,并且给客户端返回一个状态句柄(State Handle) 客户端可以通过定义状态句柄重复的执行查询。
可以按下面的方式准备查询:
INSERT INTO table(col1,col2,col3) VALUES(?,?,?);
MYSQL为准备语句提供了SQL语言接口。例如:
SET @sql = 'SELECT col1,col2,col3' FROM table where col1 = ?';
PREPARE stmt_fetch_actor FROM @sql;
SET @name = 'test';
EXECUTE smtm_fetch_actor USING @name;
DEALLOCATE PREPARE smtm_fetch_actor;
在MYSQL 5.0中可以在存储过程中使用准备语句。
准备语句会比多次执行查询效率高很多,具体原因如下:
1.服务器只需要解析一次查询,这节约了解析和其他开销
2.因为服务器缓存了一部分执行计划,所以它只需要执行某些优化步骤一次。
通过二进制发送参数比通过ASCII码要快的多,比如,通过二进制发送DATE类型的参数只需要3字节,但通过ASCII码发送需要10个字节。解决的效果对于BLOB和TEXT类型最为显著。因为他们可以成块的发送。而不是一个个的发送。二进制协议也帮客户端节约了内存,同时减少了网络开销和数据从本身的类型转换为非二进制协议的开销。
3.整个查询不会被发送到服务器。只有参数才会被发送,减少了网络流量。
4.MYSQL直接吧参数保存在服务器的缓冲区内,不需要在内存中到处拷贝数据。
5.准备语句对于安全性也有好处,它不需要在应用程序中对值进行转移和加引号。这更加方便,并且减少了SQL遭受注入攻击和其他攻击的可能(永远也不能信任用户的输入,即使使用准备语句也不能)
只有准备语句能使用二进制协议,使用普通的MSYQL_QUERY()函数提交查询不会使用二进制协议,
准备语句的局限:
1.准备语句只针对一个连接,所以另外的连接不能使用同样的句柄,处于同样的原因,一个先断开再重新连接的客户端会丢失句柄(连接池活持续连接会减轻这个问题)
2.准备语句不能使用MYSQL5.0以前的版本缓存
3.使用准备语句并不总是高效,如果只使用一次准备语句,那么准备它花费的时间可能比执行一次平常的SQL语句更长,准备语句也需要在服务器和客户端之间进行额外的信息交互。
4.现在不能在存储函数内部使用准备语句,但是可以在存储过程中使用准备语句。
5.如果忘记销毁准备语句,那么就有可能引起资源泄露,这会小号相当多的服务器资源,同样,因为对存储语句的数量有一个全局性的限制,所以一个错误可能会干扰其他使用准备语句的连接。
253
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
