use*_*231 7 php prepared-statement fetchall
使用带有pdo的预准备语句时,关闭仿真是否有任何副作用?我正在使用select*并限制需要作为int而不是字符串处理的结果.我可以做两件事之一.
$conn->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );
或者使用param类型显式绑定这些变量:
$stm = $pdo->prepare('SELECT * FROM table LIMIT ?, ?');
$stm->bindParam(1, $limit_from,PDO::PARAM_INT);
$stm->bindParam(2, $per_page,PDO::PARAM_INT);
$stm->execute();
$data = $stm->fetchAll();
任何利弊?显然,关闭仿真可以节省很多绑定.
dec*_*eze 15
准备语句是低级数据库驱动程序的一项功能.数据库首先接受查询结构并分别接收变量参数.同样,这是数据库本身实际支持的功能.
"模拟准备"意味着您在PHP端使用相同的API,使用单独的prepare()和bind/ execute调用,但PDO驱动程序只是在内部转义并连接字符串,向数据库发送一个好的旧的长SQL字符串.数据库无法使用其原生参数化查询功能.
转向模拟准备强制PDO使用数据库的本机参数化查询功能.如果您的数据库(-driver)不支持本机参数化查询,则只应打开/离开模拟准备.模拟准备仅用于支持旧数据库(-drivers),它不会改变您在PHP代码中绑定参数的方式.
仿真准备可能会在某些情况下暴露安全漏洞,就像所有客户端转义和连接一样.如果查询和数据一直保持分离到数据库,那么这些缺陷是不可能的.
不,没有什么优点或缺点值得一提。
显然,关闭仿真会节省大量绑定。
没有那么多。您只能在 LIMIT 的情况下使用绑定,并在execute()所有其他情况下继续使用惰性绑定,即使打开了模拟也是如此。
| 归档时间: |
|
| 查看次数: |
4409 次 |
| 最近记录: |