我正在更新/修改一些数据库代码,我想知道,我应该真正期望从使用准备好的语句中得到什么。
拿这个例子代码:
$values = '';
for ($i = 0; $i < $count; $i++) {
$name = mysql_real_escape_string ($list[$i][1]);
$voc = mysql_real_escape_string ($list[$i][3]);
$lev = $list[$it][2];
$lev = is_numeric ($lev)? $lev : 0;
$values .= ($values == '')? "('$name', '$voc', $lev)" : ", ('$name', '$voc', $lev)";
}
if ($values != '') {
$core->query ("INSERT INTO onlineCList (name, voc, lev) VALUES $values;");
}
现在,除了明显提高可读性(理智)和 max_packet_size 不再是一个问题之外,当我重新编码以使用准备好的语句时,我是否应该期望性能有任何变化?我正在远程连接到 MySQL 服务器,我担心发送多个小数据包会比发送一个大数据包慢得多。如果是这样的话,MySQLi/mysqlnd可以缓存这些数据包吗?
另一个例子:
$names = '';
while ($row = mysql_fetch_array ($result, MYSQL_ASSOC)) {
$name = mysql_real_escape_string($row['name']);
$names .= ($names == '') ? "'$name'" : ", '$name'";
}
if ($names != '') {
$core->query ("UPDATE onlineActivity SET online = NULL WHERE name IN ($names) AND online = 1;");
}
如上所述,在重新编码以使用准备好的语句后,我是否应该预料到意外情况?如果它必须运行一个带有大 IN 子句的查询,或者多个准备好的带有相等性检查的查询(.. WHERE name = $name AND ..),它对 MySQL 服务器有什么影响吗?
假设所有内容都已正确编入索引。
最佳答案
通常情况下,如果您只使用准备好的语句代替普通查询,速度会稍微慢一些,因为查询是分两步而不是一步准备和执行的。只有当您准备语句然后多次执行它时,准备好的语句才会变得更快。
但是,在这种情况下,您使用的是 mysql_real_escape_string,它会往返于数据库。更糟糕的是,您是在一个循环中执行它,因此,每个查询 会多次执行它。因此,在这种情况下,用一个准备好的语句替换所有这些往返是双赢的。
关于你的最后一个问题,你没有理由不能像通过普通查询解析器那样对准备好的语句使用相同的查询(即没有理由用一个 IN 执行一个版本而另一个用一堆 ORs ). prepared statement可以有 IN (?, ?, ?),然后您只需绑定(bind)该数量的参数即可。
我的建议是始终使用准备好的语句。在它们增加边际性能开销的情况下,为了安全性(无 SQL 注入(inject))和可读性优势,它们仍然是值得的。可以肯定的是,无论何时您发现自己求助于 mysql_real_escape_string,您都应该改用准备好的语句。 (对于不需要转义变量输入的简单一次性查询,它们不是绝对必要的。)
关于php - MySQL 准备语句与普通查询。 yield 和损失,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6301598/