PDO之绑定变量

用绑定变量 SQL时，客户端向服务器发送了一个 SQL语句的原型，服务器端收到了这个 SQL语句“框架”后，经过解析、预处理、生成并存储该部分的执行计划，然后返回给客户端一个句柄，之后每次执行这类查询，都应使用这个句柄，之后的每次查询，只需要发送某些变量的值就可以了。

这样看来，当一次会话中要执行多次类似的SQL时，使用绑定变量 SQL是更高效的，因为在 MySQL服务器端，只需要解析一次 SQL语句了，也能省去部分执行计划的生成。同时，每次查询都只需要发送某些变量的值，相比于每次使用完整的 SQL语句，减少了网络开销。

同时，绑定变量 SQL也更加安全，无需在应用程序中对用户输入进行转义了，MySQL服务器将每次传过来的值进行转义，这也比在应用程序转义更加安全。

注意，使用PDO的绑定变量时，一定要将 PDO::ATTR_EMULATE_PREPARES 设置为 false，否则只是在客户端中模拟绑定变量，一系列操作包括转义，都是在客户端完成的，每次发送给 MySQL服务器的都只是一个普通的查询。

$dsn = 'mysql:host=localhost;dbname=sakila';
$username = 'root';
$passwd = 'root';
$pdo = new PDO( $dsn, $username, $passwd, [
    PDO::ATTR_EMULATE_PREPARES => false,
        PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'
]);
$sql = "SELECT * FROM address WHERE city_id = :city_id ";
$stmt = $pdo->prepare($sql);

$stmt->bindValue(":city_id", 300);
$stmt->execute();

$stmt->bindValue(":city_id", "' or 1 = 1#");
$stmt->execute();

//  未展示 bindParam 用法

在MySQL命令行中输入 SET GLOBAL general_log = ‘ON’ ，就可以在日志中记录所有执行过的 SQL了。运行上述代码，MysSQL 执行过程为：

Connect root@localhost on sakila using TCP/IP
Prepare select * from address where city_id = ?
Execute select * from address where city_id = '300'
Execute select * from address where city_id = '\' or 1 = 1#'
Close stmt  
Quit

如果不将设为false，那么 MySQL服务器执行过程将是：

Connect root@localhost on sakila using TCP/IP
Query   select * from address where city_id = '300'
Query   select * from address where city_id = '\' or 1 = 1#'
Quit    

完全没有用到 PREPARE 和 EXECUTE。