PDO MySQL:您应该使用 PDO::ATTR_EMULATE_PREPARES 吗?
您正在考虑使用 PDO 来实现其安全准备好的语句和命名参数。但是,您担心平衡性能和安全性。让我们深入研究一下 PDO 模拟模式的优缺点。
性能与安全性
PDO::ATTR_EMULATE_PREPARES 可以增强性能,但可能会损害安全性。模拟准备语句使用字符串连接而不是 MySQL 的本机二进制协议进行参数替换。虽然这可能更快,但它无法提供与本机准备语句相同的针对 SQL 注入的保护。
错误处理
使用本机准备语句,语法错误是准备过程中检测到。然而,通过仿真,它们只能在执行时被检测到。这可能会影响错误处理和调试。
查询缓存
旧版本的 MySQL(5.1.17 之前)无法将预准备语句与查询缓存一起使用。但是,版本 5.1.17 及更高版本甚至可以缓存准备好的查询。
MySQL 版本 5.1.61 和 PHP 版本 5.3.2
针对您的特定版本的 MySQL 和PHP,您有以下选项:
建议
如果您很少在单个请求中重用准备好的语句,并且性能会下降作为优先事项,启用仿真可能是一个可行的选择。但是,如果安全性至关重要,强烈建议禁用模拟。
其他注意事项:
通过仔细考虑上面讨论的利弊,您可以做出明智的决定,平衡性能与安全性。
以上是PDO MySQL:您应该启用 PDO::ATTR_EMULATE_PREPARES 吗?的详细内容。更多信息请关注PHP中文网其他相关文章!
