据我所知,所有数据库/访问库都支持准备语句和绑定(bind)变量(例如 PostgreSQL 、 ODBC 、 MySQL 等)。 Python DB-API似乎暗示数据库库应该在内部使用绑定(bind)变量来实现,但我检查过的两个没有..?
MySQLdb 在内部使用字符串插值(来自 cursor.execute(..)
的 the implementation):
query = query % tuple([db.literal(item) for item in args])
和_mysql.c
implementation用途:
r = mysql_real_query(&(self->connection), query, len);
而不是 mysql_stmt_*
函数。
在psycopg2
库中,所有执行路径似乎都以_psyco_curs_execute
结束,它调用_psyco_curs_merge_query_args
,它将“查询字符串和它的论点。” (参见code)。
绑定(bind)参数应该更快、更安全,那么为什么这些库要进行字符串格式化呢?由于大多数查询都是唯一的,因此查询/语句缓存几乎没有什么用处,我是否应该大幅减小它们的大小(以防止缓存维护开销)?
最佳答案
Postgres 中预准备语句的开销相对较小。这个缓存不在进程之间共享,它只是每个进程共享的——所以实现非常简单。因此,这不应成为任何决定的论据。还有其他的:
- 盲优化(或 >= 9.3 的半盲优化)
- 协议(protocol)开销稍高
- 但它对于 SQL 注入(inject)是 100% 安全的
现在,几乎所有接口(interface)都确保安全的客户端准备好的语句 - 并且在几乎所有情况下它可能是更好的选择。异常(exception)是相当重复的语句 - 通常是一些 INSERT 或 UPDATE。
检查使用的方法很简单 - 您可以通过 set log_mi_duration_statement = 0
记录 PostgreSQL 端的所有查询,您将在 postgresql.log 中看到带或不带绑定(bind)参数(占位符)的查询。
关于python - 语句/查询缓存与 Python 数据库库和绑定(bind)参数?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32925754/