所以我有几个关于准备好的陈述的问题。
第一个是,我的朋友告诉我,它们比传统的“Select from * users where sID = '$id';”更安全,因为数据库采用不同的输入并且知道它是一个值而不是一个整体查询所以;'没有结束查询。
其次,如果使用prepared statements,是否还需要对值进行转义?
第三,准备好的语句对性能/可靠性有很大影响吗?
【问题讨论】:
标签: php mysql mysqli prepared-statement
转义查询对于区分值和命令是必要的:
SELECT * FROM foo WHERE name = 'O'Connor'
解析器不容易理解“O'Connor”中的'属于值,它会将其视为终止字符串。转义有助于解析器区分:
SELECT * FROM foo WHERE name = 'O\'Connor'
准备好的语句分两步发送到数据库:首先是命令,然后是值:
command: SELECT * FROM foo WHERE name = ?
value: O'Connor
这对解析器来说是明确的。因此,您不需要转义该值,因为您需要转义该值的唯一原因不再适用。这也是它更安全的原因,因为您永远无法逃避该值并祈祷 SQL 注入。
至于速度,单个查询应该不会有太大变化。如果您重用同一准备好的查询多次使用不同的值,这将有助于提高性能,因为数据库不需要一次又一次地解析整个查询。
如需更深入介绍:The Great Escapism (Or: What You Need To Know To Work With Text Within Text)
【讨论】:
【讨论】:
【讨论】:
首先,是的,准备好的语句,如参数化语句,在处理参数时更加安全。
这是因为参数与查询本身分开。如果您想知道只传递如下查询有什么问题:
select * from tbl where name = '$username'
只需在网上搜索“Little Bobby Tables”:-) 或“SQL 注入”。
其次,您不必转义准备好的语句的值,因为 SQL 注入的危险已消除(请参阅前一点)。
第三,一般不会。性能归结为针对数据库运行的查询,这在常规 SQL 和准备好的语句之间可能不会有太大变化。
【讨论】:
准备好的语句是预编译的,因此查询的结构是安全的,不会被篡改。然后将参数绑定到语句并执行。如果您正在执行相同的查询 - 只是使用不同的参数 - 多次准备好的语句实际上是一个巨大的性能提升。如果您使用准备好的语句,则不需要转义这些值。简而言之,准备好的语句很棒!
【讨论】: