MySQL Prepared語句

在本教學中，您將學習如何使用MySQL準備(Prepared)語句來使您的查詢執行得更快更安全。

MySQL Prepared語句簡介

之前的MySQL版本4.1，查詢以文本格式發送到MySQL伺服器。 之後，MySQL伺服器使用文本協議將數據返回給客戶端。MySQL必須完全解析查詢，並將結果集轉換為字串，然後再將其返回給客戶端。

文本協議具有嚴重的性能問題。為了解決這個問題，MySQL自版本4.1以來添加了一個名為prepare語句的來實現一些新功能。

prepare語句利用客戶端/伺服器二進位協議。 它將包含占位符(?)的查詢傳遞給MySQL伺服器，如下例所示：

SELECT *
FROM products
WHERE productCode = ?;

當MySQL使用不同的productcode值執行此查詢時，不必完全解析查詢。 因此，這有助於MySQL更快地執行查詢，特別是當MySQL多次執行查詢時。 因為prepare語句使用占位符(?)，這有助於避免SQL注入的問題，從而使您的應用程式更安全一些。

MySQL準備語句用法

為了使用MySQL準備語句，您需要使用其他三個MySQL語句如下：

• PREPARE - 準備執行的聲明。
• EXECUTE - 執行由PREPARE語句定義的語句。
• DEALLOCATE PREPARE - 發佈PREPARE語句。

下圖說明瞭如何使用PREPARE語句：

MySQL PREPARE語句示例

我們來看一下使用MySQL PREPARE語句的例子。

PREPARE stmt1 FROM 'SELECT productCode, productName
                    FROM products
                    WHERE productCode = ?';

SET @pc = 'S10_1678';
EXECUTE stmt1 USING @pc;

DEALLOCATE PREPARE stmt1;

首先，使用PREPARE語句準備執行語句。我們使用SELECT語句根據指定的產品代碼從products表查詢產品數據。然後再使用問號(?)作為產品代碼的占位符。

接下來，聲明了一個產品代碼變數@pc，並將其值設置為S10_1678。

然後，使用EXECUTE語句來執行產品代碼變數@pc的準備語句。

最後，我們使用DEALLOCATE PREPARE來發佈PREPARE語句。

在本教學中，我們向您展示了如何使用MySQL PREPARE語句來執行帶占位符的查詢，以提高查詢的速度，並使您的查詢更安全。