MySQL Prepared語句

在本教學中，您將學習如何使用MySQL準備(Prepared)語句來使您的查詢執行得更快更安全。

MySQL Prepared語句簡介

之前的MySQL版本4.1，查詢以文字格式傳送到MySQL伺服器。 之後，MySQL伺服器使用文字協定將資料返回給用戶端。MySQL必須完全解析查詢，並將結果集轉換為字串，然後再將其返回給用戶端。

文字協定具有嚴重的效能問題。為了解決這個問題，MySQL自版本4.1以來新增了一個名為prepare語句的來實現一些新功能。

prepare語句利用用戶端/伺服器二進位制協定。 它將包含預留位置(?)的查詢傳遞給MySQL伺服器，如下例所示：

SELECT * 
FROM products 
WHERE productCode = ?;

當MySQL使用不同的productcode值執行此查詢時，不必完全解析查詢。 因此，這有助於MySQL更快地執行查詢，特別是當MySQL多次執行查詢時。 因為prepare語句使用預留位置(?)，這有助於避免SQL隱碼攻擊的問題，從而使您的應用程式更安全一些。

MySQL準備語句用法

為了使用MySQL準備語句，您需要使用其他三個MySQL語句如下：

• PREPARE - 準備執行的宣告。
• EXECUTE - 執行由PREPARE語句定義的語句。
• DEALLOCATE PREPARE - 發布PREPARE語句。

下圖說明了如何使用PREPARE語句：

MySQL PREPARE語句範例

我們來看一下使用MySQL PREPARE語句的例子。

PREPARE stmt1 FROM 'SELECT productCode, productName
                    FROM products
                    WHERE productCode = ?';

SET @pc = 'S10_1678';
EXECUTE stmt1 USING @pc;

DEALLOCATE PREPARE stmt1;

首先，使用PREPARE語句準備執行語句。我們使用SELECT語句根據指定的產品程式碼從products表查詢產品資料。然後再使用問號(?)作為產品程式碼的預留位置。

接下來，宣告了一個產品程式碼變數@pc，並將其值設定為S10_1678。

然後，使用EXECUTE語句來執行產品程式碼變數@pc的準備語句。

最後，我們使用DEALLOCATE PREPARE來發布PREPARE語句。

在本教學中，我們向您展示了如何使用MySQL PREPARE語句來執行帶預留位置的查詢，以提高查詢的速度，並使您的查詢更安全。