php - PDO MySQL:是否使用 PDO::ATTR_EMULATE_PREPARES？

Question

这是我目前所读到的关于 PDO::ATTR_EMULATE_PREPARES 的内容:

1. PDO's prepare emulation is better for performance since MySQL's native prepare bypasses the query cache .
2. MySQL's native prepare is better for security (preventing SQL Injection) .
3. MySQL's native prepare is better for error reporting .

我不知道这些陈述中的任何一个是否真实。在选择 MySQL 接口(interface)时，我最关心的是防止 SQL 注入(inject)。第二个问题是性能。

我的应用程序目前使用过程 MySQLi(没有准备好的语句)，并且相当多地利用查询缓存。它很少会在单个请求中重用准备好的语句。我开始迁移到 PDO 以获取命名参数和准备好的语句的安全性。

我正在使用 MySQL 5.1.61 和 PHP 5.3.2

我是否应该启用 PDO::ATTR_EMULATE_PREPARES？有没有办法兼顾查询缓存的性能和预处理语句的安全性？

Answer 1

回答您的疑虑:

1. MySQL >= 5.1.17(或 >= 5.1.21 用于 PREPARE 和 EXECUTE 语句)can use prepared statements in the query cache .所以你的 MySQL+PHP 版本可以使用带有查询缓存的准备好的语句。但是，请仔细注意 MySQL 文档中缓存查询结果的注意事项。有很多种查询不能被缓存或者即使被缓存也无用。以我的经验，查询缓存通常并不是一个很大的胜利。查询和模式需要特殊的结构才能最大限度地利用缓存。从长远来看，通常应用程序级缓存最终还是很有必要的。

2. Native 准备对安全性没有任何影响。伪准备语句仍将转义查询参数值，它只是在 PDO 库中使用字符串而不是在 MySQL 服务器上使用二进制协议(protocol)完成。换句话说，无论您的 EMULATE_PREPARES 设置如何，相同的 PDO 代码都同样容易受到(或不易受到)注入(inject)攻击。唯一的区别是参数替换发生在哪里——使用 EMULATE_PREPARES，它发生在 PDO 库中；如果没有 EMULATE_PREPARES，它会发生在 MySQL 服务器上。

3. 如果没有 EMULATE_PREPARES，您可能会在准备时而不是在执行时遇到语法错误；使用 EMULATE_PREPARES 您只会在执行时遇到语法错误，因为 PDO 在执行之前没有查询可以提供给 MySQL。请注意，这会影响您将编写的代码!特别是如果您使用 PDO::ERRMODE_EXCEPTION!

额外考虑:

• prepare() 有一个固定成本(使用 native 预准备语句)，因此带有 native 预准备语句的 prepare();execute() 可能是比使用模拟的预处理语句发出纯文本查询慢一点。在许多数据库系统上，prepare() 的查询计划也会被缓存，并且可能与多个连接共享，但我认为 MySQL 不会这样做。因此，如果您不对多个查询重复使用准备好的语句对象，您的整体执行速度可能会变慢。

作为最终建议，我认为对于旧版本的 MySQL+PHP，您应该模拟准备好的语句，但对于您最近的版本，您应该关闭模拟。

在编写了一些使用 PDO 的应用程序之后，我做了一个 PDO 连接功能，它具有我认为最好的设置。您可能应该使用类似的东西或调整您的首选设置:

/**
 * Return PDO handle for a MySQL connection using supplied settings
 *
 * Tries to do the right thing with different php and mysql versions.
 *
 * @param array $settings with keys: host, port, unix_socket, dbname, charset, user, pass. Some may be omitted or NULL.
 * @return PDO
 * @author Francis Avila
 */
function connect_PDO($settings)
{
    $emulate_prepares_below_version = '5.1.17';

    $dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null);
    $dsnarr = array_intersect_key($settings, $dsndefaults);
    $dsnarr += $dsndefaults;

    // connection options I like
    $options = array(
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
    );

    // connection charset handling for old php versions
    if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) {
        $options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset'];
    }
    $dsnpairs = array();
    foreach ($dsnarr as $k => $v) {
        if ($v===null) continue;
        $dsnpairs[] = "{$k}={$v}";
    }

    $dsn = 'mysql:'.implode(';', $dsnpairs);
    $dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options);

    // Set prepared statement emulation depending on server version
    $serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION);
    $emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<'));
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares);

    return $dbh;
}