MySQL Prepared語句

2019-10-16 22:58:19

在本教學中,您將學習如何使用MySQL準備(Prepared)語句來使您的查詢執行得更快更安全。

MySQL Prepared語句簡介

之前的MySQL版本4.1,查詢以文字格式傳送到MySQL伺服器。 之後,MySQL伺服器使用文字協定將資料返回給用戶端。MySQL必須完全解析查詢,並將結果集轉換為字串,然後再將其返回給用戶端。

文字協定具有嚴重的效能問題。為了解決這個問題,MySQL自版本4.1以來新增了一個名為prepare語句的來實現一些新功能。

prepare語句利用用戶端/伺服器二進位制協定。 它將包含預留位置(?)的查詢傳遞給MySQL伺服器,如下例所示:

SELECT * 
FROM products 
WHERE productCode = ?;

當MySQL使用不同的productcode值執行此查詢時,不必完全解析查詢。 因此,這有助於MySQL更快地執行查詢,特別是當MySQL多次執行查詢時。 因為prepare語句使用預留位置(?),這有助於避免SQL隱碼攻擊的問題,從而使您的應用程式更安全一些。

MySQL準備語句用法

為了使用MySQL準備語句,您需要使用其他三個MySQL語句如下:

  • PREPARE - 準備執行的宣告。
  • EXECUTE - 執行由PREPARE語句定義的語句。
  • DEALLOCATE PREPARE - 發布PREPARE語句。

下圖說明了如何使用PREPARE語句:

MySQL PREPARE語句範例

我們來看一下使用MySQL PREPARE語句的例子。

PREPARE stmt1 FROM 'SELECT productCode, productName
                    FROM products
                    WHERE productCode = ?';

SET @pc = 'S10_1678';
EXECUTE stmt1 USING @pc;

DEALLOCATE PREPARE stmt1;

首先,使用PREPARE語句準備執行語句。我們使用SELECT語句根據指定的產品程式碼從products表查詢產品資料。然後再使用問號(?)作為產品程式碼的預留位置。

接下來,宣告了一個產品程式碼變數@pc,並將其值設定為S10_1678

然後,使用EXECUTE語句來執行產品程式碼變數@pc的準備語句。

最後,我們使用DEALLOCATE PREPARE來發布PREPARE語句。

在本教學中,我們向您展示了如何使用MySQL PREPARE語句來執行帶預留位置的查詢,以提高查詢的速度,並使您的查詢更安全。