1.简介
从MySQL4.1开始,就支持预处理语句(Prepared statement),这大大提高了客户端和服务器端数据传输的效率。当创建一个预定义SQL时,客户端向服务器发送一个SQL语句的原型。服务器端接收到这个SQL语句后,解析并存储这个SQL语句的部分执行计划,返回给客户端一个SQL语句处理句柄,以后每次执行这条SQL,客户端都指定使用这个句柄,可以达到一次编译、多次运行的效果。
2.特点
高效:在服务器端只需要解析一次SQL,在服务器端某些优化器的工作只需要执行一次,它会缓存一部分执行计划。
安全:使用预处理语句,无须在应用程序中处理转义,也大大减少了SQL注入和攻击的风险。
开销:对于重复执行的SQL,后续只需要将参数发送到服务器端,而不是整个SQL语句,因此网络开销会更小。
3.使用
MySQL支持SQL接口的预处理,即不使用二进制传输协议也可以直接以SQL的方式使用预处理,预处理的语法如下。
如下图所示,使用预处理根据用户姓名查询用户信息。