13. mysql 预处理

mysql 提供的API 操作数据库时，我们选用预处理方式即mysql_stmt_* 系列函数。为什么选用预处理语句，而不直接用mysql_query 进行查询呢? 

下面说下预处理语句的优缺点： 

        Mysql4.1 及更高版本支持服务器端的准备语句(prepared statements) ，它使用增强的二进制客户端/ 服务器协议在客户端和服务器端之间高校的发送数据。 

        创建预处理语句时，客户端会向服务器发送一个实际查询的原型，然后服务器对该原型进行解析和处理，将部分优化过的原型保存起来，并且给客户端返回一个状态句柄。客户端可以通过定义状态句柄重复的执行查询。 

        预处理语句可以有参数，它用问号(?) 代表执行时的具体参数。接下来可以把状态句柄和每个问号对应的值发送到服务器执行查询。这个过程可以重复任意次。

 

优点：使用预处理语句会比多次执行查询效率高的多

 

1. 服务器只需要解析一次查询，这节约了解析和其他的开销 。

2. 因为服务器缓存了一部分执行计划，所以它只需要执行某些优化步骤一次 。

3. 通过二进制发送参数比通过ASCII码要快的多。比如，通过二进制发送DATE 类型的参数只需要3 个字节，但通过ASCII 码发送要10 个字节。节约的效果对于BLOB 和TEXT 类型最为显著，因为它们可以成块的发送，而不是一个个的发送。二进制协议也帮助客户端节约了内存，同时减少了网络开销和数据从本身的类型转换为非二进制协议的开销。 

4. 整个查询不会被发送到服务器，只有参数才会被发送，这减少了网络流量。 

5. Mysql 直接把参数保存在服务器的缓冲区内，不需要在内存中到处copy 数据。 

6. 预处理语句对安全性也有好处，它不需要在应用程序中对值进行转义和加引号，这更加方便，并且减少了遭SQL 注入攻击的可能性。

 

缺点：预处理语句也有一些局限：

 

1. 预处理语句只针对一个连接，所以另外的连接不能使用同样的句柄。出于这个原因，一个先断开再从新连接的客户端会丢失句柄。 

2. 预处理语句不能使用mysql5.0以前版本的缓存。 

3. 使用预处理语句并不总是高效的。如果只使用一次预处理语句，那么准备它花费的时间可能比执行一次平常的sql 语句更长。 

4.  如果忘记销毁预处理语句，那么就有可能引起资源泄漏。