这是我到目前为止阅读的内容PDO::ATTR_EMULATE_PREPARES:
PDO::ATTR_EMULATE_PREPARES
我不知道这些陈述的真实性。在选择MySQL接口时,我最大的担心是防止SQL注入。第二个问题是性能。
我的应用程序当前使用过程MySQLi(没有准备好的语句),并且大量利用了查询缓存。它很少会在单个请求中重复使用准备好的语句。我开始转向PDO,以获取命名参数和已准备好的语句的安全性。
我正在使用MySQL 5.1.61和PHP 5.3.2
MySQL 5.1.61
PHP 5.3.2
我应该保持PDO::ATTR_EMULATE_PREPARES启用状态吗?有没有办法兼顾查询缓存的性能和准备好的语句的安全性?
要回答您的问题:
MySQL> = 5.1.17(或PREPAREand EXECUTE语句为> = 5.1.21 )可以在查询缓存中使用准备好的语句。因此,您的MySQL + PHP版本可以在查询缓存中使用准备好的语句。但是,请注意MySQL文档中有关缓存查询结果的注意事项。存在许多无法缓存的查询或即使被缓存也无用的查询。以我的经验,无论如何,查询缓存通常不是一个很大的胜利。查询和模式需要特殊的构造才能最大程度地利用缓存。从长远来看,经常需要结束应用程序级缓存。
PREPARE
EXECUTE
本机准备对于安全性没有任何影响。伪准备的语句仍将转义查询参数值,它将仅在带有字符串的PDO库中完成,而不是在使用二进制协议的MySQL服务器上完成。换句话说,无论您的EMULATE_PREPARES设置如何,相同的PDO代码都同样容易受到(或不受攻击)注入攻击。唯一的区别是参数替换发生的位置-使用EMULATE_PREPARES,它发生在PDO库中;没有EMULATE_PREPARES,它发生在MySQL服务器上。
EMULATE_PREPARES
如果没有,EMULATE_PREPARES您可能会在准备时而不是执行时得到语法错误;与EMULATE_PREPARES您一起只会在执行时收到语法错误,因为PDO直到执行时才向MySQL提供查询。请注意, 这会影响您将编写的代码 !特别是如果您正在使用PDO::ERRMODE_EXCEPTION!
PDO::ERRMODE_EXCEPTION
附加注意事项:
prepare()
prepare();execute()
作为最后的建议 ,我认为对于旧版本的MySQL + PHP,您应该模拟准备好的语句,但是对于最近的版本,您应该关闭模拟。
在编写了一些使用PDO的应用程序之后,我做了一个PDO连接功能,该功能我认为是最佳设置。您可能应该使用类似的方法或调整您的首选设置:
/** * Return PDO handle for a MySQL connection using supplied settings * * Tries to do the right thing with different php and mysql versions. * * @param array $settings with keys: host, port, unix_socket, dbname, charset, user, pass. Some may be omitted or NULL. * @return PDO * @author Francis Avila */ function connect_PDO($settings) { $emulate_prepares_below_version = '5.1.17'; $dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null); $dsnarr = array_intersect_key($settings, $dsndefaults); $dsnarr += $dsndefaults; // connection options I like $options = array( PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC ); // connection charset handling for old php versions if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) { $options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset']; } $dsnpairs = array(); foreach ($dsnarr as $k => $v) { if ($v===null) continue; $dsnpairs[] = "{$k}={$v}"; } $dsn = 'mysql:'.implode(';', $dsnpairs); $dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options); // Set prepared statement emulation depending on server version $serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION); $emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<')); $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares); return $dbh; }