- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
据我了解,准备好的语句(主要)是一种数据库功能,允许您将参数与使用此类参数的代码分开。示例:
PREPARE fooplan (int, text, bool, numeric) AS
INSERT INTO foo VALUES($1, $2, $3, $4);
EXECUTE fooplan(1, 'Hunter Valley', 't', 200.00);
参数化查询代替手动字符串插值,所以不是这样做
cursor.execute("SELECT FROM tablename WHERE fieldname = %s" % value)
我们可以的
cursor.execute("SELECT FROM tablename WHERE fieldname = %s", [value])
现在,似乎准备好的语句大部分用于数据库语言,参数化查询主要用于连接数据库的编程语言,尽管我看到了这条规则的异常(exception)情况。
问题是询问prepared statement和parameterized query的区别会带来很多困惑。诚然,它们的目的是相同的,但它们的方法似乎截然不同。然而,有sources表示两者相同。 MySQLdb 和 Psycopg2 似乎支持参数化查询,但不支持准备好的语句(例如 here 用于 MySQLdb 和 TODO list for postgres drivers 或 this answer 在 sqlalchemy 组中)。其实有一个gist实现支持预准备语句的 psycopg2 游标和最小 explanation关于它。还有一个suggestion在 psycopg2 中对游标对象进行子类化以手动提供准备好的语句。
我想得到以下问题的权威答案:
准备好的语句和参数化查询之间是否存在有意义的区别?这在实践中重要吗?如果使用参数化查询,是否需要担心预处理语句?
如果有区别,Python生态系统中prepared statements的现状如何?哪些数据库适配器支持预处理语句?
最佳答案
Prepared statement:对数据库上预解释查询例程的引用,准备接受参数
参数化查询:由您的代码以这样一种方式进行的查询,您在 alongside 一些具有占位符值的 SQL 中传递值,通常是 ?
或%s
或类似的东西。
这里的混淆似乎源于(明显)缺乏直接获取准备好的语句对象的能力和将值传递到非常像一个“参数化查询”方法的能力之间的区别......因为它是一个,或者至少为你做一个。
例如:SQLite3库的C接口(interface)有很多工具可以使用prepared statement objects ,但 Python api几乎没有提到他们。您不能随时准备一份声明并多次使用它。相反,您可以使用 sqlite3.executemany(sql, params)
获取 SQL 代码,internally 创建一个准备好的语句,然后在循环中使用该语句来处理每个你给的迭代中的参数元组。
Python 中的许多其他 SQL 库的行为方式相同。使用准备好的语句对象可能会很痛苦,并且可能导致歧义,并且在像 Python 这样的语言中,它对原始执行速度具有如此的清晰性和易用性,它们并不是真正的最佳选择。从本质上讲,如果您发现自己不得不对每次都重新解释的复杂 SQL 查询进行数十万或数百万次调用,那么您可能应该以不同的方式做事。无论如何,有时人们希望他们可以直接访问这些对象,因为如果您在数据库服务器周围保留相同的预处理语句,就不必一遍又一遍地解释相同的 SQL 代码;大多数情况下,这会从错误的方向解决问题,您将在其他地方或通过重组代码获得更多的节省。*
也许更重要的是,准备好的语句和参数化查询使您的数据保持卫生并与 SQL 代码分开。 这比字符串格式更可取!您应该将参数化查询和准备好的语句以一种或另一种形式视为将变量数据从应用程序传递到数据库的唯一方法强>。如果您尝试以其他方式构建 SQL 语句,它不仅运行速度会明显变慢,而且您将容易受到 other problems 的攻击。 .
*例如,通过生成要在生成器函数中输入数据库的数据,然后使用 executemany()
从生成器中一次性插入所有数据,而不是调用execute()
每次循环。
参数化查询是单个操作,它在内部生成准备好的语句,然后传入您的参数并执行。
编辑:很多人看到这个答案!我还想澄清一下,许多数据库引擎也有预准备语句的概念,可以使用纯文本查询语法显式构建,然后在客户端 session 的生命周期内重用(例如在 postgres 中)。有时您可以控制是否缓存查询计划以节省更多时间。一些框架会自动使用这些(我已经看到 rails 的 ORM 积极地这样做了),有时很有用,有时在准备查询的形式排列时会损害它们。
此外,如果您想挑剔,参数化查询不会总是在后台使用准备好的语句;如果可能,他们应该这样做,但有时它只是在参数值中格式化。这里的“准备好的语句”和“参数化查询”之间的真正区别实际上只是您使用的 API 的形状。
关于python - Python中准备好的语句和参数化查询之间的混淆,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36367555/
简而言之:我想从可变参数模板参数中提取各种选项,但不仅通过标签而且通过那些参数的索引,这些参数是未知的 标签。我喜欢 boost 中的方法(例如 heap 或 lockfree 策略),但想让它与 S
我可以对单元格中的 excel IF 语句提供一些帮助吗? 它在做什么? 对“BaselineAmount”进行了哪些评估? =IF(BaselineAmount, (Variance/Baselin
我正在使用以下方法: public async Task Save(Foo foo,out int param) { ....... MySqlParameter prmparamID
我正在使用 CodeGear RAD Studio IDE。 为了使用命令行参数测试我的应用程序,我多次使用了“运行 -> 参数”菜单中的“参数”字段。 但是每次我给它提供一个新值时,它都无法从“下拉
我已经为信用卡类编写了一些代码,粘贴在下面。我有一个接受上述变量的构造函数,并且正在研究一些方法将这些变量格式化为字符串,以便最终输出将类似于 号码:1234 5678 9012 3456 截止日期:
MySql IN 参数 - 在存储过程中使用时,VarChar IN 参数 val 是否需要单引号? 我已经像平常一样创建了经典 ASP 代码,但我没有更新该列。 我需要引用 VarChar 参数吗?
给出了下面的开始,但似乎不知道如何完成它。本质上,如果我调用 myTest([one, Two, Three], 2); 它应该返回元素 third。必须使用for循环来找到我的解决方案。 funct
将 1113355579999 作为参数传递时,该值在函数内部变为 959050335。 调用(main.c): printf("%d\n", FindCommonDigit(111335557999
这个问题在这里已经有了答案: Is Java "pass-by-reference" or "pass-by-value"? (92 个回答) 关闭9年前。 public class StackOve
我真的很困惑,当像 1 == scanf("%lg", &entry) 交换为 scanf("%lg", &entry) == 1 没有区别。我的实验书上说的是前者,而我觉得后者是可以理解的。 1 =
我正在尝试使用调用 SetupDiGetDeviceRegistryProperty 的函数使用德尔福 7。该调用来自示例函数 SetupEnumAvailableComPorts .它看起来像这样:
我需要在现有项目上实现一些事件的显示。我无法更改数据库结构。 在我的 Controller 中,我(从 ajax 请求)传递了一个时间戳,并且我需要显示之前的 8 个事件。因此,如果时间戳是(转换后)
rails 新手。按照多态关联的教程,我遇到了这个以在create 和destroy 中设置@client。 @client = Client.find(params[:client_id] || p
通过将 VM 参数设置为 -Xmx1024m,我能够通过 Eclipse 运行 Java 程序-Xms256M。现在我想通过 Windows 中的 .bat 文件运行相同的 Java 程序 (jar)
我有一个 Delphi DLL,它在被 Delphi 应用程序调用时工作并导出声明为的方法: Procedure ProduceOutput(request,inputs:widestring; va
浏览完文档和示例后,我还没有弄清楚 schema.yaml 文件中的参数到底用在哪里。 在此处使用 AWS 代码示例:https://github.com/aws-samples/aws-proton
程序参数: procedure get_user_profile ( i_attuid in ras_user.attuid%type, i_data_group in data_g
我有一个字符串作为参数传递给我的存储过程。 dim AgentString as String = " 'test1', 'test2', 'test3' " 我想在 IN 中使用该参数声明。 AND
这个问题已经有答案了: When should I use "this" in a class? (17 个回答) 已关闭 6 年前。 我运行了一些java代码,我看到了一些我不太明白的东西。为什么下
我输入 scroll(0,10,200,10);但是当它运行时,它会传递字符串“xxpos”或“yypos”,我确实在没有撇号的情况下尝试过,但它就是行不通。 scroll = function(xp
我是一名优秀的程序员,十分优秀!