亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

PDOMySQL:使用PDO:ATTR_EMIATE_PRINTER是否準備?

PDOMySQL:使用PDO:ATTR_EMIATE_PRINTER是否準備?

烙印99 2019-07-03 15:45:05
PDOMySQL:使用PDO:ATTR_EMIATE_PRINTER是否準備?這就是我到目前為止所讀到的PDO::ATTR_EMULATE_PREPARES:PDO的準備仿真性能更好,因為MySQL的原生準備繞過了查詢緩存.MySQL的本機準備在安全性方面更好(防止SQL注入).MySQL的本機準備更適合錯誤報告.我不知道這些說法有多真實。在選擇MySQL接口時,我最關心的是防止SQL注入。第二個問題是表現。我的應用程序目前使用過程MySQLi(沒有準備好的語句),并且相當多地使用查詢緩存。它很少在單個請求中重用準備好的語句。為了獲得已準備語句的命名參數和安全性,我開始遷移到PDO。我在用MySQL 5.1.61和PHP 5.3.2我該走了嗎PDO::ATTR_EMULATE_PREPARES啟用還是不啟用?是否有一種方法既具有查詢緩存的性能,又具有準備好的語句的安全性?
查看完整描述

3 回答

?
德瑪西亞99

TA貢獻1770條經驗 獲得超3個贊

要回答你的擔憂:

  1. 的MySQL>=5.1.17(或>=5.1.21)PREPAREEXECUTE發言)可以在查詢緩存中使用準備好的語句。..因此,您的MySQL+PHP版本可以在查詢緩存中使用準備好的語句。但是,請仔細注意MySQL文檔中緩存查詢結果的注意事項。有許多類型的查詢不能被緩存,或者即使它們被緩存,也是無用的。根據我的經驗,查詢緩存通常不是一個很大的勝利。查詢和架構需要特殊的構造才能最大限度地利用緩存。通常,從長遠來看,應用程序級緩存最終是必要的。

  2. 本機準備對安全性沒有任何影響。偽準備語句仍將轉義查詢參數值,它將在PDO庫中使用字符串完成,而不是在MySQL服務器上使用二進制協議完成。換句話說,相同的PDO代碼將同樣容易受到注入攻擊(或不受攻擊),而不管您的攻擊是什么。EMULATE_PREPARES背景。唯一的區別是參數替換發生在什么地方EMULATE_PREPARES,它發生在PDO庫中;EMULATE_PREPARES,它發生在MySQL服務器上。

  3. EMULATE_PREPARES您可能在準備時而不是在執行時出現語法錯誤;EMULATE_PREPARES只有在執行時才會收到語法錯誤,因為PDO直到執行時才會向MySQL提供查詢。請注意這會影響您將要編寫的代碼。!尤其是如果你用PDO::ERRMODE_EXCEPTION!

另一項考慮是:

  • 有固定的成本

    prepare()

    (使用本機準備的語句),因此

    prepare();execute()

    對于本機準備的語句,可能比使用模擬準備語句發出普通文本查詢要慢一些。在許多數據庫系統中,

    prepare()

    也是緩存的,并且可以與多個連接共享,但我認為MySQL不會這樣做。因此,如果不將準備好的語句對象用于多個查詢,則總體執行速度可能會更慢。

作為最后建議,我認為在MySQL+PHP的舊版本中,您應該模擬準備好的語句,但是對于最新版本,您應該關閉模擬。

在編寫了一些使用PDO的應用程序之后,我制作了一個PDO連接函數,它具有我認為最好的設置。您可能應該使用類似的東西或調整到您喜歡的設置:

/**
 * Return PDO handle for a MySQL connection using supplied settings
 *
 * Tries to do the right thing with different php and mysql versions.
 *
 * @param array $settings with keys: host, port, unix_socket, dbname, charset, user, pass. Some may be omitted or NULL.
 * @return PDO
 * @author Francis Avila
 */function connect_PDO($settings){
    $emulate_prepares_below_version = '5.1.17';

    $dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null);
    $dsnarr = array_intersect_key($settings, $dsndefaults);
    $dsnarr += $dsndefaults;

    // connection options I like
    $options = array(
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC    );

    // connection charset handling for old php versions
    if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) {
        $options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset'];
    }
    $dsnpairs = array();
    foreach ($dsnarr as $k => $v) {
        if ($v===null) continue;
        $dsnpairs[] = "{$k}={$v}";
    }

    $dsn = 'mysql:'.implode(';', $dsnpairs);
    $dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options);

    // Set prepared statement emulation depending on server version
    $serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION);
    $emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<'));
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares);

    return $dbh;}


查看完整回答
反對 回復 2019-07-03
  • 3 回答
  • 0 關注
  • 519 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號