首页

PDO MySQL:使用PDO::ATTR_EMULATE_PREPARES与否?

php mysql pdo
2022-08-30 07:02:33

这是我到目前为止读到的关于PDO::ATTR_EMULATE_PREPARES的内容:

  1. PDO的准备仿真更有利于提高性能,因为MySQL的本机准备绕过了查询缓存
  2. MySQL的原生准备更适合安全性(防止SQL注入)。
  3. MySQL的本机准备更适合错误报告

我不知道这些说法有多真实了。在选择MySQL接口时,我最关心的是防止SQL注入。第二个问题是性能。

我的应用程序当前使用过程 MySQLi(没有预准备语句),并且相当多地利用查询缓存。它很少会在单个请求中重用预准备语句。我开始向 PDO 迁移,以获取预准备语句的命名参数和安全性。

我正在使用和MySQL 5.1.61PHP 5.3.2

我应该是否启用?有没有办法同时提高查询缓存的性能和预准备语句的安全性?PDO::ATTR_EMULATE_PREPARES


答案 1

要回答您的疑虑:

  1. MySQL >= 5.1.17(或 >= 5.1.21 for and 语句)可以在查询缓存中使用预准备语句。因此,您的MySQL + PHP版本可以将预准备语句与查询缓存一起使用。但是,请仔细注意MySQL文档中有关缓存查询结果的注意事项。有许多种类的查询无法缓存,或者即使它们被缓存也无用。根据我的经验,无论如何,查询缓存通常都不是一个很大的胜利。查询和架构需要特殊的构造才能最大限度地利用缓存。从长远来看,应用程序级缓存通常最终都是必要的。PREPAREEXECUTE

  2. 本机准备对安全性没有任何影响。伪准备语句仍将转义查询参数值,它只会在带有字符串的PDO库中完成,而不是在使用二进制协议的MySQL服务器上完成。换句话说,无论您的设置如何,相同的PDO代码都同样容易受到(或不容易受到)注入攻击。唯一的区别是参数替换发生的位置 - 与 ,它发生在PDO库中;如果没有 ,它发生在MySQL服务器上。EMULATE_PREPARESEMULATE_PREPARESEMULATE_PREPARES

  3. 如果没有,您可能会在准备时而不是在执行时遇到语法错误;你只会在执行时得到语法错误,因为PDO在执行之前没有查询提供给MySQL。请注意,这会影响您将要编写的代码!特别是如果你正在使用!EMULATE_PREPARESEMULATE_PREPARESPDO::ERRMODE_EXCEPTION

另一个注意事项:

  • a(使用本机预准备语句)有固定成本,因此具有本机预准备语句的 a 可能比使用模拟预准备语句发出纯文本查询慢一些。在许多数据库系统上,a的查询计划也是缓存的,并且可以与多个连接共享,但我不认为MySQL这样做。因此,如果不对多个查询重用预准备语句对象,则总体执行速度可能会变慢。prepare()prepare();execute()prepare()

作为最后的建议,我认为对于旧版本的MySQL + PHP,您应该模拟预准备语句,但是对于最新版本,您应该关闭仿真。

在编写了一些使用PDO的应用程序之后,我制作了一个PDO连接功能,它具有我认为是最佳设置的功能。您可能应该使用类似这样的东西或调整到您的首选设置:

/**
 * Return PDO handle for a MySQL connection using supplied settings
 *
 * Tries to do the right thing with different php and mysql versions.
 *
 * @param array $settings with keys: host, port, unix_socket, dbname, charset, user, pass. Some may be omitted or NULL.
 * @return PDO
 * @author Francis Avila
 */
function connect_PDO($settings)
{
    $emulate_prepares_below_version = '5.1.17';

    $dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null);
    $dsnarr = array_intersect_key($settings, $dsndefaults);
    $dsnarr += $dsndefaults;

    // connection options I like
    $options = array(
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
    );

    // connection charset handling for old php versions
    if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) {
        $options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset'];
    }
    $dsnpairs = array();
    foreach ($dsnarr as $k => $v) {
        if ($v===null) continue;
        $dsnpairs[] = "{$k}={$v}";
    }

    $dsn = 'mysql:'.implode(';', $dsnpairs);
    $dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options);

    // Set prepared statement emulation depending on server version
    $serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION);
    $emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<'));
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares);

    return $dbh;
}

答案 2

我很惊讶没有人提到关闭仿真的最大原因之一。启用仿真后,PDO 将所有整数和浮点数作为字符串返回。关闭仿真后,MySQL 中的整数和浮点数在 PHP 中变为整数和浮点数。

有关更多信息,请参阅此问题的可接受答案:PHP + PDO + MySQL:如何在PHP中将MySQL中的整数和数字列作为整数和数字返回?


推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »