mysql 预处理语句 性能,mysql – 用于快速质量插入的预处理语句

最新推荐文章于 2022-12-22 19:13:01 发布
最新推荐文章于 2022-12-22 19:13:01 发布
阅读量136 收藏 1
点赞数
文章标签: mysql 预处理语句 性能

简而言之

在Perl中是否有办法使用预准备语句(以防止SQL注入)在不到2分钟内将一百万条记录插入MySQL表中?

详细地

有一个在线资源(Wikimedia),我想从中下载一个文件(dewiktionary-latest-all-titles-in-ns0.gz),其中包含近100万篇文章(每篇文章都是对德语单词的描述)维基词典).我想每周检查一次这个列表,然后对新的或删除的标题做出反应.为此,我想每周自动下载一次该列表并将其插入数据库.

虽然我信任维基媒体,但你永远不应该相信任何来自互联网的东西.因此,为了防止SQL注入和其他安全问题,我总是在Perl中使用预处理语句,确保SQL解释器没有机会将内容解释为代码.

通常我会这样做:

计划1

#!/usr/bin/perl -w

use strict;

use warnings;

use LWP::UserAgent;

use DBI;

# DOWNLOAD FROM INTERNET =========================

# create User-Agent:

my $ua = LWP::UserAgent->new;

# read content from Internet

my $response = $ua->get('https://');

# decode content

my $content = $response->decoded_content;

#turn into a list

my @list = split(/\n/,$content);

# STORE IN DATABASE ==============================

# connect with database (create DataBase-Handle):

my $dbh = DBI->connect(

'DBI:mysql:database=;host=localhost',

'','',

{mysql_enable_utf8mb4 => 1}

);

# SQL statement

my $SQL = 'INSERT INTO `mytable`(`word`) VALUES(?)';

# prepare statement (create Statement Handle)

my $SH = $dbh->prepare($SQL);

#execute in a loop

foreach my $word (@list) {

$SH->execute($word);

}

# disconnect from database

$dbh->disconnect;

# end of program

exit(0);

注意这一行(第27行):

my $SQL = 'INSERT INTO `mytable`(`word`) VALUES(?)';

SQL命令行中有一个问号作为占位符.

在下一行中准备了这个SQL命令行(即创建了一个预准备语句),并在循环中执行此语句,这意味着,每次将新值($word)插入表中,而不会任何机会执行此值,因为SQL解释器没有看到此值.因此,无论攻击者是否可能写入我下载的文件,它都不会导致代码注入.

但:

这很慢.下载在几秒钟内完成,但插入循环运行超过四个小时.

有一个更快的解决方案,它是这样的:

计划2

# The code above the SQL-Statement is exactly

# the same as in the 1st program

#-------------------------------------------------

# SQL statement

my $SQL = 'INSERT INTO `mytable`(`word`) VALUES '; # <== NO '?'!

# attach values in a loop

# initiate comma with empty string

my $comma = '';

foreach my $word (@list) {

# escape escapecharacter

$word =~ s/\\/\\\\/g;

# escape quotes

$word =~ s/'/\\'/g;

# put the value in quotes and then in brackets, add the comma

# and then append it to the SQL command string

$SQL .= $comma."('".$word."')";

# comma must be a comma

$comma = ',';

}

# Now prepare this mega-statement

my $SH = $dbh->prepare($SQL);

# and execute it without any parameter

$SH->execute();

# disconnect from database

$dbh->disconnect;

# end of program

exit(0);

(这是简化的,因为SQL语句太长而不能被MySQL接受.你需要将它分成大约5000个值的部分并执行它们.但这对我在这里讨论的问题并不重要. )

这运行得非常快.所有值(新表中几乎100万行)都在不到2分钟的时间内插入,速度提高了100多倍.

如您所见,我创建了一个重要声明,但没有占位符.我将值直接写入SQL命令.我只需要转义反斜杠,它将被解释为转义字符和单引号,它们将被解释为字符串的结尾.

但其余的值仍未受到保护,并且对于SQL解释器是可见的.潜在的攻击者可能会找到一种方法将SQL代码插入到将要执行的值中.这可能会损坏我的数据库,甚至可能授予攻击者超级用户权限. (代码注入引起的权限提升)

所以,这是我的问题:

有没有办法像程序1中那样使用预处理语句,即使对于像程序2那样动态生成的语句也是如此?

或者是否有另一种可能性来快速安全地将大量数据插入MySQL表中?

解决方法:

你的斜体小注实际上非常相关:

(This is simplified, since the SQL statement would become too long to be accepted by MySQL. You need to split it up in sections of about 5000 values and execute them. But this is not important for the problem I’m talking about here.)

我认为你的“毫无准备的声明”(不是真正的术语)方法更快,因为你一次只批量加载5000条记录而不是一条一条,而不是因为它不是一个准备好的语句.

尝试使用5000这样的方法构建一个准备好的语句:

my $SQL = 'INSERT INTO `mytable`(`word`) VALUES ' . '(?),'x4999 . '(?)';

然后一次构建一个包含5000个单词的列表,并用它执行准备好的语句.您将不得不处理最后一组(大概)少于5000个单词,并在最后一批中使用第二个动态生成的准备语句来处理相应数量的单词.

您还可以查看LOAD DATA INFILE以进行批量加载.

标签:mysql,perl

来源: https://codeday.me/bug/20190622/1261955.html

weixin_39641236
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实测 ——Mysql 通过预处理(Prepare)提升性能
Comin的博客
10-28 659
经过本人实测,采用预处理性能提升大约接近10%。 关于预处理的介绍,网上资料很多,总体关心优点有如下: 预处理优点 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行); 绑定参数减少了服务器带宽,只需发送查询的参数,而不是整个语句预处理语句针对SQL 注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。 测试代码: package main import ( _ "github.com/go-sql-driver/mysql" "fmt" ".
mysql预编译
weixin_34233618的博客
12-19 341
一.背景: 用Mybatis+mysql的架构做开发,大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,举例如下: Xml代码   &lt;select id=”aaa” parameterType=”int” returnType=”Blog”&gt;                      select * from blog where id = ...
mysql 预处理效率_MySQL中Stmt 预处理提高效率问题的小研究
weixin_39590566的博客
01-21 126
复制代码 代码如下:DELIMITER $$set @stmt = 'select userid,username from myuser where userid between ? and ?';prepare s1 from @stmt;set @s1 = 2;set @s2 = 100;execute s1 using @s1,@s2;deallocate prepare s1;$$DEL...
mysql预处理 原理_MySQL原理解析
weixin_33142377的博客
01-28 380
逻辑架构MySQL逻辑架构整体分为三层:客户端层,连接处理、授权认证、安全等功能均在这一层处理。核心服务层,包括查询解析、分析、优化、缓存、内置函数(比如:时间、数学、加密等函数)。所有的跨存储引擎的功能也在这一层实现:存储过程、触发器、视图等。存储引擎,其负责MySQL中的数据存储和提取。和Linux下的文件系统类似,每种存储引擎都有其优势和劣势。中间的服务层通过API与存储引擎通信,这些API...
mysql预处理速度对比_mysql直接执行和预处理执行的效率比较
weixin_39915078的博客
01-20 287
{if(mysql_stmt_prepare(stmt,"INSERTtest(col1,col2,col3,col4)values(?,?,?,?)",strlen("INSERTtest(col1,col2,col3,col4)values(?,?,?,?)"))){fprintf(stderr,"mysql_stmt_prepare(),insertfailed\r\n");f...
理解Mysql prepare预处理语句
09-10
MySQL的PREPARE预处理语句是一种提高数据库操作性能和安全性的重要工具,尤其适用于需要重复执行相同结构但参数不同的SQL语句的情况。预处理语句的工作原理是先定义一个SQL模板,然后在执行时动态插入参数,从而减少...
MySQL预处理语句prepare、execute与deallocate的使用教程
09-09
MySQL中的预处理语句是数据库操作中的一个重要工具,它提供了高效、安全的方式来执行多次的SQL操作。预处理语句包括三个关键步骤:`PREPARE`、`EXECUTE` 和 `DEALLOCATE`。 1. **PREPARE**:这个步骤是用来创建一个...
PHP MySQL 预处理语句
01-03
预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。 预处理语句的工作原理如下: 预处理:创建 SQL 语句模板并发送到数据库。预留的值使用参数 “?” 标记 。例如: INSERT INTO MyGuests (firstname, ...
PHP MySQL 预处理语句:读取数据:Where子句.md
最新发布
06-13
在 PHP 中使用 MySQL 预处理语句(prepared statements)是一种推荐的方式来执行数据库操作,特别是当涉及到用户输入时。预处理语句可以帮助防止 SQL 注入攻击,因为它们会将数据与 SQL 查询语句分开处理。
mysql预处理语句
demonXwire的博客
12-22 1342
语法 PREPARE 预处理语句名 FROM '预处理的sql'; //准备 EXECUTE 预处理语句名 USING 注入参数1,注入参数2; //执行 DEALLOCATE PREPARE 预处理语句名; //释放 说明 预处理的sql中,sql语句中用?代表参数。第一个问号,等会儿用注入参数1注入,第二个问号,用注入参数2注入 例子 PREPARE stm001 FROM 'select * from 表 where sex=? and name=?'; EXECUTE stm00
mysql什么时候用预处理_mysql直接执行和预处理执行的效率比较
weixin_39951181的博客
01-18 87
{if(mysql_stmt_prepare(stmt,"INSERTtest(col1,col2,col3,col4)values(?,?,?,?)",strlen("INSERTtest(col1,col2,col3,col4)values(?,?,?,?)"))){fprintf(stderr,"mysql_stmt_prepare(),insertfailed\r\n");f...
MySQL预处理
Stannis的博客
09-16 1974
  从MySQL 4.1开始,就支持预处理语句(Prepared statement),这大大提高了客户端和服务器端数据传输的效率。当创建一个预定义SQL时,客户端向服务器发送一个SQL语句的原型;服务器端接收到这个SQL语句后,解析并存储这个SQL语句的部分执行计划,返回给客户端一个SQL语句 处理句柄,以后每次执行这条SQL,客户端都指定使用这个句柄。 即时SQL和预处理SQL对比   1、即时SQL:一次编译、一次运行   2、预处理SQL:一次编译、多次运行 预处理优势:   1、高效执行重
MySQL数据库的预处理(prepared statement)性能测试
Dengdew的博客
02-01 2946
1、预处理干了什么 当我们提交一条数据库语句时,语句到达数据库服务那边,数据库服务需要解析这条sql语句,比如说语法检查,查询条件先后优化,然后才执行。对于预处理,简单来说就是把客户端与数据库服务原本一次交互的分成两次。首先,提交数据库语句,让数据库服务先解析这条语句。其次,提交参数,调用语句并执行。这样对于多次重复执行的语句来说,可以提交并解析一次数据库语句就可以了,然后不断的调用刚刚解析过得语句并执行。这样就省去了多次解析同一条语句的时间。从而达到提高效率的目的。 预...
MySQL预处理技术知识点汇总
sunriver2000的专栏
08-02 1662
一、介绍 MySQL客户端/服务器协议提供了预处理语句。该功能采用了由mysql_stmt_init()初始化函数返回的MYSQL_STMT语句处理程序数据结构。对于多次执行的语句预处理执行是一种有效的方式。首先对语句进行解析,为执行作好准备。接下来,在以后使用初始化函数返回的语句句柄执行一次或多次。 对于多次执行的语句预处理执行比直接执行快,主要原因在于,仅对查询执行一次解析操作。在直接...
MySQL预处理 - Prepared Statements
FAIRYTAIL的博客
03-25 1445
最近在使用存储过程定时创建分区的时候,使用到了预处理相关语句,在此记录一下MySQL预处理语句使用,方便自己和大家查阅,各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢! MySQL预处理通常使用 PREPARE、EXECUTE 和 DEALLOCATE PREPARE三个语句来进行处理。 PREPARE 语句 语法: PREPARE stmt_name FROM preparable_stmt prepare:该prepare语句准备一条S.
sql 预编译语句
weixin_41563161的博客
11-25 5230
sql 预编译语句 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语句称作Immediate Statements。 但是很多情况,我们的一条sql语句可能会反
mysql】五 转载 mysql预编译是否开启与效率分析
百物易用是苏生
05-10 789
预编译参数:由驱动程序设定,而非数据库配置设定。 ①开启预编译:useServerPstmts=true (Connector/J 5.0.5及之后默认false) ②开启预编译缓存:cachePrepStmts=true (一直默认false) 效率: ①开启预编译,不开启预编译缓存,效率低于非预编译执行; ②开启预编译同时开启预编译缓存,效率与非预编译执行几乎一样(同connect); ...
WEB程序员需要掌握的十大MySQL优化技巧
weixin_34377919的博客
11-27 296
【51CTO独家特稿】WEB开发者不光要解决程序的效率问题,对数据库的快速访问和相应也是一个大问题。希望本文能对大家掌握MySQL优化技巧有所帮助。 1.优化你的MySQL查询缓存 在MySQL服务器上进行查询,可以启用高速查询缓存。让数据库引擎在后台悄悄的处理是提高性能的最有效方法之一。当同一个查询被执行多次时,如果结果是从缓存中提取,那是相当快的。 但主要的问题是,...
MySql优化-预编译和批处理(详解举例)
Pinker_Q
09-25 1851
文章目录预编译预编译的好处MySQL界面执行预编译JDBC驱动执行预编译使用Statement执行预编译(了解)使用PreparedStatement执行预编译(重点掌握)未开启预编译打开预编译功能打开缓存功能注意批处理Statement批处理(了解)PreparedStatement批处理打开批处理 预编译 预编译的好处 PreparedStatement接口有预编译功能。什么是预编译功能呢?它有什么好处呢? 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQ
C API揭秘:MySQL预处理语句与CRUD操作实践
MySQL C API预处理语句MySQL C语言客户端接口中的一项关键功能,它允许程序员在发送SQL语句之前进行编译时的检查和优化。在MySQL_C_API编程实践中,王保明提供了一个详细的指南,包括以下内容: 1. MySQL C API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值