预处理语句(Prepared Statement)能提升 MySQL 执行效率并防止 SQL 注入。它通过将 SQL 模板预先编译,后续只需传入参数即可重复执行。
基本原理
Prepared Statement 分两步:先定义带占位符的 SQL 语句,再绑定具体参数值执行。MySQL 会缓存执行计划,适合频繁执行相同结构的查询。
在 SQL 中使用
可在客户端直接用 SQL 命令操作:
准备语句:使用PREPARE定义模板 设置变量:用
SET赋值参数 执行:调用
EXECUTE运行 释放:用
DEALLOCATE PREPARE清理资源
示例:
PREPARE stmt FROM 'SELECT * FROM users WHERE id = ?'; SET @user_id = 100; EXECUTE stmt USING @user_id; DEALLOCATE PREPARE stmt;
在编程语言中使用(以 PHP 为例)
PHP 的 PDO 或 MySQLi 都支持预处理语句。
PDO 示例:
$pdo = new PDO($dsn, $user, $pass);
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = ?');
$stmt->execute(['john@example.com']);
$result = $stmt->fetchAll();
命名参数更清晰:
$stmt = $pdo->prepare('SELECT * FROM users WHERE status = :status');
$stmt->bindValue(':status', 'active');
$stmt->execute();
优点与注意事项
优势明显:
自动转义参数,避免 SQL 注入 多次执行时性能更高 代码更清晰,逻辑分离注意点:
占位符不能用于表名、列名等非值位置 每个连接独立维护预处理语句 长时间空闲可能被服务器自动清理基本上就这些。用好预处理语句是安全高效操作数据库的基础。
