PDOMySQL:使用PDO:ATTR_EMIATE_PRINTER是否准备?这就是我到目前为止所读到的PDO::ATTR_EMULATE_PREPARES:PDO的准备仿真性能更好,因为MySQL的原生准备绕过了查询缓存.MySQL的本机准备在安全性方面更好(防止SQL注入).MySQL的本机准备更适合错误报告.我不知道这些说法有多真实。在选择MySQL接口时,我最关心的是防止SQL注入。第二个问题是表现。我的应用程序目前使用过程MySQLi(没有准备好的语句),并且相当多地使用查询缓存。它很少在单个请求中重用准备好的语句。为了获得已准备语句的命名参数和安全性,我开始迁移到PDO。我在用MySQL 5.1.61和PHP 5.3.2我该走了吗PDO::ATTR_EMULATE_PREPARES启用还是不启用?是否有一种方法既具有查询缓存的性能,又具有准备好的语句的安全性?
3 回答
德玛西亚99
TA贡献1770条经验 获得超3个赞
的MySQL>=5.1.17(或>=5.1.21) PREPARE和 EXECUTE发言) 可以在查询缓存中使用准备好的语句。 ..因此,您的MySQL+PHP版本可以在查询缓存中使用准备好的语句。但是,请仔细注意MySQL文档中缓存查询结果的注意事项。有许多类型的查询不能被缓存,或者即使它们被缓存,也是无用的。根据我的经验,查询缓存通常不是一个很大的胜利。查询和架构需要特殊的构造才能最大限度地利用缓存。通常,从长远来看,应用程序级缓存最终是必要的。 本机准备对安全性没有任何影响。伪准备语句仍将转义查询参数值,它将在PDO库中使用字符串完成,而不是在MySQL服务器上使用二进制协议完成。换句话说,相同的PDO代码将同样容易受到注入攻击(或不受攻击),而不管您的攻击是什么。 EMULATE_PREPARES背景。唯一的区别是参数替换发生在什么地方 EMULATE_PREPARES,它发生在PDO库中; EMULATE_PREPARES,它发生在MySQL服务器上。 无 EMULATE_PREPARES您可能在准备时而不是在执行时出现语法错误; EMULATE_PREPARES只有在执行时才会收到语法错误,因为PDO直到执行时才会向MySQL提供查询。请注意 这会影响您将要编写的代码。!尤其是如果你用 PDO::ERRMODE_EXCEPTION!
有固定的成本 prepare()(使用本机准备的语句),因此 prepare();execute()对于本机准备的语句,可能比使用模拟准备语句发出普通文本查询要慢一些。在许多数据库系统中, prepare()也是缓存的,并且可以与多个连接共享,但我认为MySQL不会这样做。因此,如果不将准备好的语句对象用于多个查询,则总体执行速度可能会更慢。
作为最后建议
/**
* Return PDO handle for a MySQL connection using supplied settings
*
* Tries to do the right thing with different php and mysql versions.
*
* @param array $settings with keys: host, port, unix_socket, dbname, charset, user, pass. Some may be omitted or NULL.
* @return PDO
* @author Francis Avila
*/function connect_PDO($settings){
$emulate_prepares_below_version = '5.1.17';
$dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null);
$dsnarr = array_intersect_key($settings, $dsndefaults);
$dsnarr += $dsndefaults;
// connection options I like
$options = array(
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC );
// connection charset handling for old php versions
if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) {
$options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset'];
}
$dsnpairs = array();
foreach ($dsnarr as $k => $v) {
if ($v===null) continue;
$dsnpairs[] = "{$k}={$v}";
}
$dsn = 'mysql:'.implode(';', $dsnpairs);
$dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options);
// Set prepared statement emulation depending on server version
$serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION);
$emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<'));
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares);
return $dbh;}添加回答
举报
0/150
提交
取消