产生原因
普通的SQL执行语句,由于研发人员对前端请求参数过滤不严谨,导致SQL被注入,从而影响数据库,带来风险
使用PDO后形成的语句
SELECT * FROM test WHERE id in (?);
PDO执行操作主要两个动作
- prepare():预处理SQL语句,通过将'?'占位符发送到服务器解析SQL语句
- execute():执行解析出来的SQL语句获得结果
PDO好处有两个
- PDO将解析SQL与执行SQL分开,这样避免了SQL注入攻击。例如:字符串跟运算符(1 OR 1 = 1),发送到数据库,传统的数据库操作会把它当成可运算字符拼接成SQL语句一起执行。如:SELECT * FROM test where id = 1 or 1 = 1。如果是使用PDO的方式,则会当成一个字符串参数替换占位符?。如:SELECT * FROM test where id = "1 OR 1 = 1"。这样子则不会出现注入
- 减少SQL执行步骤,加快SQL执行速度。查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复【分析/编译/优化】周期。简言之,预处理语句占用更少的资源,因而运行得更快。