一尘不染

PDO MySQL:是否使用PDO :: ATTR_EMULATE_PREPARES?

mysql

这是我到目前为止阅读的内容PDO::ATTR_EMULATE_PREPARES

  1. 由于MySQL的本机准备绕过了查询缓存,因此PDO的准备仿真在性能上更好
  2. MySQL的本机准备更好地提高了安全性(防止SQL注入)
  3. MySQL的本机准备更好地用于错误报告

我不知道这些陈述的真实性。在选择MySQL接口时,我最大的担心是防止SQL注入。第二个问题是性能。

我的应用程序当前使用过程MySQLi(没有准备好的语句),并且大量利用了查询缓存。它很少会在单个请求中重复使用准备好的语句。我开始转向PDO,以获取命名参数和已准备好的语句的安全性。

我正在使用MySQL 5.1.61PHP 5.3.2

我应该保持PDO::ATTR_EMULATE_PREPARES启用状态吗?有没有办法兼顾查询缓存的性能和准备好的语句的安全性?


阅读 722

收藏
2020-05-17

共1个答案

一尘不染

要回答您的问题:

  1. MySQL> = 5.1.17(或PREPAREand EXECUTE语句为> = 5.1.21 )可以在查询缓存中使用准备好的语句。因此,您的MySQL + PHP版本可以在查询缓存中使用准备好的语句。但是,请注意MySQL文档中有关缓存查询结果的注意事项。存在许多无法缓存的查询或即使被缓存也无用的查询。以我的经验,无论如何,查询缓存通常不是一个很大的胜利。查询和模式需要特殊的构造才能最大程度地利用缓存。从长远来看,经常需要结束应用程序级缓存。

  2. 本机准备对于安全性没有任何影响。伪准备的语句仍将转义查询参数值,它将仅在带有字符串的PDO库中完成,而不是在使用二进制协议的MySQL服务器上完成。换句话说,无论您的EMULATE_PREPARES设置如何,相同的PDO代码都同样容易受到(或不受攻击)注入攻击。唯一的区别是参数替换发生的位置-使用EMULATE_PREPARES,它发生在PDO库中;没有EMULATE_PREPARES,它发生在MySQL服务器上。

  3. 如果没有,EMULATE_PREPARES您可能会在准备时而不是执行时得到语法错误;与EMULATE_PREPARES您一起只会在执行时收到语法错误,因为PDO直到执行时才向MySQL提供查询。请注意, 这会影响您将编写的代码 !特别是如果您正在使用PDO::ERRMODE_EXCEPTION

附加注意事项:

  • prepare()(使用本机预处理语句)的成本是固定的,因此prepare();execute()使用本机预处理语句的速度可能比使用模拟的预备语句发布纯文本查询要慢一些。在许多数据库系统上,a的查询计划也prepare()被缓存,并且可以与多个连接共享,但是我认为MySQL不会这样做。因此,如果不将准备好的语句对象用于多个查询,则整体执行速度可能会变慢。

作为最后的建议 ,我认为对于旧版本的MySQL + PHP,您应该模拟准备好的语句,但是对于最近的版本,您应该关闭模拟。

在编写了一些使用PDO的应用程序之后,我做了一个PDO连接功能,该功能我认为是最佳设置。您可能应该使用类似的方法或调整您的首选设置:

/**
 * Return PDO handle for a MySQL connection using supplied settings
 *
 * Tries to do the right thing with different php and mysql versions.
 *
 * @param array $settings with keys: host, port, unix_socket, dbname, charset, user, pass. Some may be omitted or NULL.
 * @return PDO
 * @author Francis Avila
 */
function connect_PDO($settings)
{
    $emulate_prepares_below_version = '5.1.17';

    $dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null);
    $dsnarr = array_intersect_key($settings, $dsndefaults);
    $dsnarr += $dsndefaults;

    // connection options I like
    $options = array(
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
    );

    // connection charset handling for old php versions
    if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) {
        $options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset'];
    }
    $dsnpairs = array();
    foreach ($dsnarr as $k => $v) {
        if ($v===null) continue;
        $dsnpairs[] = "{$k}={$v}";
    }

    $dsn = 'mysql:'.implode(';', $dsnpairs);
    $dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options);

    // Set prepared statement emulation depending on server version
    $serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION);
    $emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<'));
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares);

    return $dbh;
}
2020-05-17