python - 语句/查询缓存与 Python 数据库库和绑定(bind)参数？

Question

据我所知，所有数据库/访问库都支持准备语句和绑定(bind)变量(例如 PostgreSQL 、 ODBC 、 MySQL 等)。 Python DB-API似乎暗示数据库库应该在内部使用绑定(bind)变量来实现，但我检查过的两个没有..？

MySQLdb 在内部使用字符串插值(来自 cursor.execute(..) 的 the implementation):

query = query % tuple([db.literal(item) for item in args])

和_mysql.c implementation用途:

r = mysql_real_query(&(self->connection), query, len);

而不是 mysql_stmt_* 函数。

在psycopg2库中，所有执行路径似乎都以_psyco_curs_execute结束，它调用_psyco_curs_merge_query_args，它将“查询字符串和它的论点。” (参见code)。

绑定(bind)参数应该更快、更安全，那么为什么这些库要进行字符串格式化呢？由于大多数查询都是唯一的，因此查询/语句缓存几乎没有什么用处，我是否应该大幅减小它们的大小(以防止缓存维护开销)？

Answer 1

Postgres 中预准备语句的开销相对较小。这个缓存不在进程之间共享，它只是每个进程共享的——所以实现非常简单。因此，这不应成为任何决定的论据。还有其他的:

1. 盲优化(或 >= 9.3 的半盲优化)
2. 协议(protocol)开销稍高
3. 但它对于 SQL 注入(inject)是 100% 安全的

现在，几乎所有接口(interface)都确保安全的客户端准备好的语句 - 并且在几乎所有情况下它可能是更好的选择。异常(exception)是相当重复的语句 - 通常是一些 INSERT 或 UPDATE。

检查使用的方法很简单 - 您可以通过 set log_mi_duration_statement = 0 记录 PostgreSQL 端的所有查询，您将在 postgresql.log 中看到带或不带绑定(bind)参数(占位符)的查询。