對于參數(shù)綁定為何可以避免SQL注入,建議題主可以了解一下�����,值得注意的是prepare語句只能解析一條SQL,下面摘要說明一下prepare的作用:
首先從mysql服務(wù)器執(zhí)行sql的過程開始講起���,SQL執(zhí)行過程包括以下階段 詞法分析->語法分析->語義分析->執(zhí)行計(jì)劃優(yōu)化->執(zhí)行�。詞法分析->語法分析這兩個(gè)階段我們稱之為硬解析�����。詞法分析識別sql中每個(gè)詞����,語法分析解析SQL語句是否符合sql語法,并得到一棵語法樹(Lex)����。對于只是參數(shù)不同�,其他均相同的sql,它們執(zhí)行時(shí)間不同但硬解析的時(shí)間是相同的�����。而同一SQL隨著查詢數(shù)據(jù)的變化����,多次查詢執(zhí)行時(shí)間可能不同,但硬解析的時(shí)間是不變的。對于sql執(zhí)行時(shí)間較短����,sql硬解析的時(shí)間占總執(zhí)行時(shí)間的比率越高。而對于淘寶應(yīng)用的絕大多數(shù)事務(wù)型SQL�,查詢都會走索引,執(zhí)行時(shí)間都比較短���。因此淘寶應(yīng)用db sql硬解析占的比重較大���。
Prepare的出現(xiàn)就是為了優(yōu)化硬解析的問題。Prepare在服務(wù)器端的執(zhí)行過程如下
1) Prepare 接收客戶端帶”?”的sql, 硬解析得到語法樹(stmt->Lex), 緩存在線程所在的preparestatement cache中�。此cache是一個(gè)HASH MAP. Key為stmt->id. 然后返回客戶端stmt->id等信息。
2) Execute 接收客戶端stmt->id和參數(shù)等信息���。注意這里客戶端不需要再發(fā)sql過來����。服務(wù)器根據(jù)stmt->id在preparestatement cache中查找得到硬解析后的stmt, 并設(shè)置參數(shù)����,就可以繼續(xù)后面的優(yōu)化和執(zhí)行了。
Prepare在execute階段可以節(jié)省硬解析的時(shí)間�����。如果sql只執(zhí)行一次,且以prepare的方式執(zhí)行����,那么sql執(zhí)行需兩次與服務(wù)器交互(Prepare和execute), 而以普通(非prepare)方式,只需要一次交互��。這樣使用prepare帶來額外的網(wǎng)絡(luò)開銷�,可能得不償失。我們再來看同一sql執(zhí)行多次的情況��,比如以prepare方式執(zhí)行10次��,那么只需要一次硬解析�。這時(shí)候 額外的網(wǎng)絡(luò)開銷就顯得微乎其微了。因此prepare適用于頻繁執(zhí)行的SQL�����。
Prepare的另一個(gè)作用是防止sql注入���,不過這個(gè)是在客戶端jdbc通過轉(zhuǎn)義實(shí)現(xiàn)的,跟服務(wù)器沒有關(guān)系�����。
建議題主看下MySQL官方文檔(https://dev.mysql.com/doc/ref...)。什么���?看不懂英文��?試試百度翻譯吧:https://fanyi.baidu.com
