MySQL SQL预处理(Prepared)的语法实例与注意事项

来自：网络

时间：2022-01-09

阅读：

一、SQL 语句的执行处理

1、即时 SQL

一条 SQL 在 DB 接收到最终执行完毕返回，大致的过程如下：

　　1. 词法和语义解析；

　　2. 优化 SQL 语句，制定执行计划；

　　3. 执行并返回结果；

如上，一条 SQL 直接是走流程处理，一次编译，单次运行，此类普通语句被称作 Immediate Statements （即时 SQL）。

2、预处理 SQL

但是，绝大多数情况下，某需求某一条 SQL 语句可能会被反复调用执行，或者每次执行的时候只有个别的值不同（比如 select 的 where 子句值不同，update 的 set 子句值不同，insert 的 values 值不同）。如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等，则效率就明显不行了。

所谓预编译语句就是将此类 SQL 语句中的值用占位符替代，可以视为将 SQL 语句模板化或者说参数化，一般称这类语句叫Prepared Statements。

预编译语句的优势在于归纳为：一次编译、多次运行，省去了解析优化等过程；此外预编译语句能防止 SQL 注入。

注意：

虽然可能是通过预处理 SQL 的方式一定程度的提高了效率，但是对于优化而言，最优的执行计划不是光靠 SQL 语句的模板化来实现的，往往还是需要通过具体值来预估出成本代价。

二、Prepared SQL Statement Syntax

MySQL 官方将 prepare、execute、deallocate 统称为 PREPARE STATEMENT。翻译也就习惯的称其为预处理语句。

MySQL 预处理语句的支持版本较早，所以我们目前普遍使用的 MySQL 版本都是支持这一语法的。

语法：

# 定义预处理语句
PREPARE stmt_name FROM preparable_stmt;
# 执行预处理语句
EXECUTE stmt_name [USING @var_name [, @var_name] ...];
# 删除(释放)定义
{DEALLOCATE | DROP} PREPARE stmt_name;

1、利用字符串定义预处理 SQL (直角三角形计算)

mysql> PREPARE stmt1 FROM 'SELECT SQRT(POW(?,2) + POW(?,2)) AS hypotenuse';
Query OK, 0 rows affected (0.00 sec)
Statement prepared

mysql> SET @a = 3;
Query OK, 0 rows affected (0.00 sec)

mysql> SET @b = 4;                                                   
Query OK, 0 rows affected (0.00 sec)

mysql> EXECUTE stmt1 USING @a, @b;
+------------+
| hypotenuse |
+------------+
|          5 |
+------------+
1 row in set (0.00 sec)

mysql> DEALLOCATE PREPARE stmt1;                                     
Query OK, 0 rows affected (0.00 sec)

2、利用变量定义预处理 SQL (直角三角形计算)

mysql> SET @s = 'SELECT SQRT(POW(?,2) + POW(?,2)) AS hypotenuse';
Query OK, 0 rows affected (0.00 sec)

mysql> PREPARE stmt2 FROM @s;
Query OK, 0 rows affected (0.00 sec)
Statement prepared

mysql> SET @c = 6;
Query OK, 0 rows affected (0.00 sec)

mysql> SET @d = 8;
Query OK, 0 rows affected (0.00 sec)

mysql> EXECUTE stmt2 USING @c, @d;
+------------+
| hypotenuse |
+------------+
|         10 |
+------------+
1 row in set (0.00 sec)

mysql> DEALLOCATE PREPARE stmt2;
Query OK, 0 rows affected (0.00 sec)

3、解决无法传参问题

我们知道，对于 LIMIT 子句中的值，必须是常量，不得使用变量，也就是说不能使用：SELECT * FROM TABLE LIMIT @skip, @numrows; 如此，就可以是用 PREPARE 语句解决此问题。

mysql> SET @skip = 100; SET @numrows = 3;
Query OK, 0 rows affected (0.00 sec)

Query OK, 0 rows affected (0.00 sec)

mysql> SELECT * FROM t1 LIMIT @skip, @numrows;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '@skip, @numrows' at line 1

mysql> PREPARE stmt3 FROM "SELECT * FROM t1 LIMIT ?, ?";
Query OK, 0 rows affected (0.00 sec)
Statement prepared

mysql> EXECUTE stmt3 USING @skip, @numrows;
+-----+--------+
| a   | filler |
+-----+--------+
| 100 | filler |
| 101 | filler |
| 102 | filler |
+-----+--------+
3 rows in set (0.00 sec)

mysql> DEALLOCATE PREPARE stmt3;
Query OK, 0 rows affected (0.00 sec)

如此一来，结合2中介绍的利用变量定义预处理 SQL 也就基本解决了传参时语法报错问题了，类似的：用变量传参做表名时，MySQL 会把变量名当做表名，这样既不是本意，也会是语法错误，在 SQL Server 的解决办法是利用字符串拼接穿插变量进行传参，再将整条 SQL 语句作为变量，最后是用 sp_executesql 调用该拼接 SQL 执行，而 Prepared SQL Statement 可谓异曲同工之妙。

mysql> SET @table = 't2';
Query OK, 0 rows affected (0.00 sec)

mysql> SET @s = CONCAT('SELECT * FROM ', @table);
Query OK, 0 rows affected (0.00 sec)

mysql> PREPARE stmt4 FROM @s;
Query OK, 0 rows affected (0.00 sec)
Statement prepared

mysql> EXECUTE stmt4;
+------+-------+-------+
| id   | score | grade |
+------+-------+-------+
|    1 |    99 | A     |
|    2 |    81 | B     |
|    3 |    55 | D     |
|    4 |    69 | C     |
+------+-------+-------+
4 rows in set (0.00 sec)

mysql> DROP PREPARE stmt4;
Query OK, 0 rows affected (0.00 sec)

三、预处理 SQL 使用注意点

1、stmt_name 作为 preparable_stmt 的接收者，唯一标识，不区分大小写。

2、preparable_stmt 语句中的 ? 是个占位符，所代表的是一个字符串，不需要将 ? 用引号包含起来。

3、定义一个已存在的 stmt_name ，原有的将被立即释放，类似于变量的重新赋值。

4、PREPARE stmt_name 的作用域是session级

可以通过 max_prepared_stmt_count 变量来控制全局最大的存储的预处理语句。

mysql> show variables like 'max_prepared%';
+-------------------------+-------+
| Variable_name           | Value |
+-------------------------+-------+
| max_prepared_stmt_count | 16382 |
+-------------------------+-------+
1 row in set (0.00 sec)

预处理编译 SQL 是占用资源的，所以在使用后注意及时使用 DEALLOCATE PREPARE 释放资源，这是一个好习惯。

四、Prepared Statements优点

1.安全

Prepared Statements通过sql逻辑与数据的分离来增加安全，sql逻辑与数据的分离能防止普通类型的sql注入攻击（SQL injection attack）。

2.性能

Prepared Statements只语法分析一次，你初始话Prepared Statements时，mysql将检查语法并准备语句的运行，当你执行query 多次时，这样就不会在有额外的负担了，如果，当运行query 很多次的时候（如：insert）这种预处理有很大的性能提高

他使用binary protocol协议，这样更能提高效率。

总结

MySQL大小写敏感的处理方式及代码示例MySQL是一种常用的关系型数据库管理系统，它在处理大小写敏感的问题时需要特别注意。在MySQL中，默认情况下是大小写不敏感的，即不区分大小

2024-03-15 21:10:08

MySQL触发器的定义与使用方法详解MySQL触发器是一种特殊的存储过程，可以在表发生特定事件时自动执行。触发器可以用于实现数据的自动化处理、数据一致性维护等功能。本文将

2024-03-15 21:09:41

MySQL数据库中外键的作用及用法详解在MySQL数据库中，外键是用来建立表与表之间关联的重要工具，它能够确保数据完整性，并且提供了一种方式来维护表与表之间的关系。本文将详细介

2024-03-15 21:09:25

MySQL UPDATE语句是否会导致表被锁定？MySQL 是一个流行的关系型数据库管理系统，广泛用于各种应用程序中。在数据库操作中，UPDATE 语句用于更新表中的数据。但是，一个常见的问题

2024-03-15 21:09:08

MySQL中的布尔类型是一种非常实用的数据类型，它用于存储逻辑值，只能取两种值：TRUE或FALSE。在MySQL中，布尔类型也被称为BOOL或BOOLEAN，可以用TINYINT(1)来表示。在本文中，我们将深

2024-03-15 21:08:53

如何设计合理的 MySQL 复合主键？在数据库设计中，主键是一项非常重要的概念，它可以帮助我们唯一地标识每一行数据。在 MySQL 中，我们可以选择使用单一主键或者复合主键。复合主键

2024-03-15 21:08:36

MySQL数据库中unique索引的优势及应用场景在MySQL数据库中，unique索引是一种特殊的索引，它可以保证列中的值是唯一的。在实际应用中，unique索引具有许多优势，并且适用于多种场景

2024-03-15 21:08:22

MySQL 时间戳是一个十分重要的数据类型，它可以存储日期、时间或者日期加时间。在实际的开发过程中，合理地使用时间戳可以提高数据库操作的效率，并且方便进行时间相关的查询和计

2024-03-15 21:08:05

MySQL数据库中的unique索引：用法与注意事项MySQL是一种非常流行的开源关系型数据库管理系统，可以用于存储和管理大量的数据。在MySQL中，我们经常会使用索引来提高数据的检索和

2024-03-15 21:07:48

MySQL.proc表是MySQL数据库中存储存储过程和函数信息的系统表，通过深入了解其结构及用途，可以更好地理解存储过程和函数在MySQL中的运行机制，并进行相关的管理和优化。下面将详

2024-03-15 21:07:32

在数据库管理中，触发器是一种强大的工具，能够帮助我们实现数据库操作的自动化。MySQL作为一款广泛应用的开源数据库管理系统，也提供了触发器功能，我们可以利用MySQL触发器来实现

2024-03-15 21:07:14

MYSQL 一个事务在提交的时候能够保证binlog和redo log是同时提交的，并且能在宕机恢复后保持binlog 和redo log的一致性。先来看看什么是redo log 和binlog，以及为什么要保持它

2024-03-15 00:54:55

转载至我的博客 https://www.infrastack.cn ，公众号：架构成长指南在并发一致性控制场景中，我们常常用for update悲观锁来进行一致性的保证，但是如果不了解它的机制，就进行使用，很

2024-03-13 00:03:43

1 介绍AOF（Append Only File）持久化：以独立日志的方式存储了 Redis 服务器的顺序指令序列，并只记录对内存进行修改的指令。
当Redis服务发生雪崩等故障时，可以重启服务并重新执行

2024-03-12 12:07:28

大家好，我是小康，今天我们来聊下 Redis 的几种架构模式，包括主从复制、哨兵和集群模式。前言：设想一下，你的咖啡馆在城市中太受欢迎，导致每天都人满为患。为了缓解这种压力，你决定

2024-03-11 00:01:36

前言:每次你在游戏中看到玩家排行榜，或者在音乐应用中浏览热门歌单，有没有想过这个排行榜是如何做到实时更新的？当然，依靠 Redis 即可做到。在技术领域，我们经常听到「键值存储」

2024-03-11 00:00:34

2024-03-10 23:58:29

Oracle数据库中修改系统日期方法详解在Oracle数据库中，修改系统日期的方法主要涉及到修改NLS_DATE_FORMAT参数和使用SYSDATE函数。本文将详细介绍这两种方法及其具体的代码示

2024-03-09 23:16:03

解决Oracle错误3114的有效方法分享，需要具体代码示例Oracle数据库是常用的企业级关系型数据库管理系统，但在使用过程中经常会遇到各种错误。其中，错误3114是一个比较常见的错误

2024-03-09 23:15:49

解决Oracle中空表无法成功导出的技巧在Oracle数据库中，有时候在导出数据时会遇到空表无法成功导出的问题。这种情况可能会给数据库管理员带来一定的困扰，因为即使表中没有数据

2024-03-09 23:15:34

如何提升Oracle DBA的权限管理技巧在Oracle数据库管理中，权限管理是至关重要的一项工作。作为一名Oracle DBA，掌握权限管理技巧能够有效地保护数据库的安全性，保障数据的完整性

2024-03-09 23:15:18

在Oracle数据库开发中，编写存储过程来判断表是否存在是一项常见的任务。在数据库开发中，存储过程是一段预先编译的代码块，用于实现特定的功能或逻辑。通过编写存储过程来判断表

2024-03-09 23:15:03

在Oracle数据库中，Blob和Clob是两种用于存储大数据类型的数据字段。Blob代表二进制大对象（Binary Large Object），通常用于存储二进制数据，例如图片、音频、视频等；而Clob代表字符

2024-03-09 23:14:46

Sybase和Oracle都是在企业级数据库领域备受青睐的两大数据库管理系统。它们在功能、性能、可靠性等方面都有各自的优势，并且在实际应用中常常被广泛使用。本文将从不同角度来

2024-03-09 23:14:27

Oracle中的LPAD函数是用来在字符串左侧填充特定字符，使字符串达到指定长度的函数。在实际应用中，LPAD函数常用于处理字符串对齐的需求，尤其是在数据库查询结果展示或报表生成过

2024-03-09 23:14:11

Oracle数据库中存储过程是一种特定类型的存储过程，用于在数据库中执行一系列的SQL语句和数据操作。在实际的数据库开发工作中，有时候我们需要判断某个表是否存在于数据库中，这

2024-03-09 23:13:57

Blob和Clob是Oracle数据库中两种常见的数据类型，用于存储大量的二进制数据和字符数据。本文将分析Blob和Clob数据类型的差异，并从各自的优势和劣势进行比较。一、Blob数据类型

2024-03-09 23:13:42

空表导出是数据库管理中常见的操作，但有时候遇到空表导出却遇到了困难，这时候我们需要使用一些特定的策略和技巧来解决问题。在Oracle数据库中，空表导出的困难通常出现在导出后

2024-03-09 23:13:28

Oracle数据库中的LPAD函数是一种用于在字符串左侧填充指定字符的函数，可以帮助我们对字符串进行格式化处理。LPAD函数的语法为：LPAD(要填充的字符串,总长度,填充字符)。接下来

2024-03-09 23:13:13

2018-08-19

2020-03-22

2020-12-17

2020-03-22

2020-10-15

2021-01-28

2020-03-22

2021-01-21

2020-10-28

MySQL SQL预处理(Prepared)的语法实例与注意事项

目录

一、SQL 语句的执行处理

1、即时 SQL

2、预处理 SQL

二、Prepared SQL Statement Syntax

三、预处理 SQL 使用注意点

四、Prepared Statements优点

总结

热点内容

免费资源网

在线工具

扫一扫随时看

本站下载频道