1、Prepare 介绍
Prepared Statements很像存储过程,是一种运行在后台的SQL语句集合,我们可以从使用 prepared statements 获得很多好处,无论是性能问题还是安全问题。
Prepared Statements 可以检查一些你绑定好的变量,这样可以保护你的程序不会受到“SQL注入式”攻击。
当然,你也可以手动地检查你的这些变量,然而,手动的检查容易出问题,而且很经常会被程序员忘了。
在性能方面,当一个相同的查询被使用多次的时候,这会为你带来可观的性能优势。你可以给这些Prepared Statements定义一些参数,而MySQL只会解析一次。
最新版本的MySQL在传输Prepared Statements是使用二进制形势,所以这会使得网络传输非常有效率。
2、PREPARE语法
语法:
PREPARE statement_name FROM sql_text /*定义*/
EXECUTE statement_name [USING variable [,variable...]] /*执行预处理语句*/
DEALLOCATE PREPARE statement_name /*删除定义*/
示例
mysql> PREPARE prod FROM "INSERT INTO table1 VALUES(?,?)";
mysql> SET @p='1';
mysql> SET @q='2';
mysql> EXECUTE prod USING @p,@q;
mysql> SET @name='3';
mysql> EXECUTE prod USING @p,@name;
mysql> DEALLOCATE PREPARE prod;
3、PREPARE 特点
特点如下:
(1)PREPARE stmt_name FROM preparable_stmt;预定义一个语句,并将它赋给 stmt_name ,tmt_name 是不区分大小写的。
(2)即使 preparable_stmt 语句中的 ? 所代表的是一个字符串,你也不需要将 ? 用引号包含起来。
(3)如果新的 PREPARE 语句使用了一个已存在的 stmt_name ,那么原有的将被立即释放! 即使这个新的 PREPARE 语句因为错误而不能被正确执行。
(4)PREPARE stmt_name 的作用域是当前客户端连接会话可见。
(5)要释放一个预定义语句的资源,可以使用 DEALLOCATE PREPARE 句法。
(6)EXECUTE stmt_name 句法中,如果 stmt_name 不存在,将会引发一个错误。
(7)如果在终止客户端连接会话时,没有显式地调用 DEALLOCATE PREPARE 句法释放资源,服务器端会自己动释放它。
(8)在预定义语句中,CREATE TABLE, DELETE, DO, INSERT, REPLACE, SELECT, SET, UPDATE, 和大部分的 SHOW 句法被支持。
(9)PREPARE 语句可以用于存储过程(从版本MySQL 5.0.13以后),不支持在函数中使用
4、用于存储过程
示例:
- CREATE PROCEDURE `p1`(IN id INT UNSIGNED,IN name VARCHAR(11))
- BEGIN lable_exit:
- BEGIN
- SET @SqlCmd = 'SELECT * FROM users ';
- IF id IS NOT NULL THEN
- SET @SqlCmd = CONCAT(@SqlCmd , 'WHERE id=?');
- PREPARE stmt FROM @SqlCmd;
- SET @a = id;
- EXECUTE stmt USING @a;
- LEAVE lable_exit;
- END IF;
- IF name IS NOT NULL THEN
- SET @SqlCmd = CONCAT(@SqlCmd , 'WHERE name LIKE ?');
- PREPARE stmt FROM @SqlCmd;
- SET @a = CONCAT(name, '%');
- EXECUTE stmt USING @a;
- LEAVE lable_exit;
- END IF;
- END lable_exit;
- END;
- CALL `p1`(1,NULL);
- CALL `p1`(NULL,'chenjiayi');
- DROP PROCEDURE `p1`;
5、性能比较
prepare跟普通的sql语句的性能比较
- <?php
- class timer {
- public $StartTime = 0;
- public $StopTime = 0;
- public $TimeSpent = 0;
- function start(){
- $this->StartTime = microtime();
- }
- function stop(){
- $this->StopTime = microtime();
- }
- function spent() {
- if ($this->TimeSpent) {
- return $this->TimeSpent;
- } else {
- $StartMicro = substr($this->StartTime,0,10);
- $StartSecond = substr($this->StartTime,11,10);
- $StopMicro = substr($this->StopTime,0,10);
- $StopSecond = substr($this->StopTime,11,10);
- $start = floatval($StartMicro) + $StartSecond;
- $stop = floatval($StopMicro) + $StopSecond;
- $this->TimeSpent = $stop - $start;
- return round($this->TimeSpent,8).'秒';
- }
- }
- }
- $timer = new timer;
- $timer->start();
- $mysql = new mysqli('localhost','root','root','ganbaobao_ucenter');
- /* sql直接执行
- $query = $mysql->query("select username,email from uc_members where uid < 100000");
- $result = array();
- while($result = $query->fetch_array())
- {
- $result[] = array('name'=>$result['username'],'email'=>$result['email']);
- }
- */
- /*执行预查询*/
- $query_prepare = $mysql->prepare("select username,email from uc_members where uid < ?");
- $id = 100000;
- $query_prepare->bind_param("i",$id);
- $query_prepare->execute();
- $query_prepare->bind_result($username,$email);
- $result = array();
- while($query_prepare->fetch())
- {
- $result[] = array('name'=>$username,'email'=>$email);
- }
- $timer->stop();
- echo '</br>预查询mysql运行100000条数据时间为: '.$timer->spent();
- unset($timer);
执行结果:
普通mysql运行1000条数据时间为: 0.011621秒
普通mysql运行10000条数据时间为: 0.07766891秒
普通mysql运行100000条数据时间为: 0.10834217秒
预查询mysql运行1000条数据时间为: 0.00963211秒
预查询mysql运行10000条数据时间为: 0.04614592秒
预查询mysql运行100000条数据时间为: 0.05989885秒