在使用带有pdo的预准备语句时,关闭仿真是否有任何副作用?我正在使用select *并限制需要作为int而不是字符串处理的结果。我可以做两件事之一。
$conn->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );
或者使用param类型显式绑定这些变量:
$stm = $pdo->prepare('SELECT * FROM table LIMIT ?, ?');
$stm->bindParam(1, $limit_from,PDO::PARAM_INT);
$stm->bindParam(2, $per_page,PDO::PARAM_INT);
$stm->execute();
$data = $stm->fetchAll();
任何利弊?显然,关闭仿真可以节省很多绑定。
答案 0 :(得分:15)
预准备语句是低级数据库驱动程序的一项功能。数据库首先接受查询结构并分别接收变量参数。同样,这是数据库本身实际支持的功能。
“模拟准备”意味着您在PHP端使用相同的API,具有单独的prepare()和bind / execute调用,但PDO驱动程序只是在内部转义并连接字符串,向数据库发送一个好的旧的长SQL字符串。数据库无法使用其原生参数化查询功能。
转动模拟准备强制PDO使用数据库的本机参数化查询功能。如果您的数据库(-driver)不支持本机参数化查询,则只应打开/离开模拟准备。模拟准备仅用于支持旧数据库(-drivers),它不会改变您在PHP代码中绑定参数的方式。
模拟准备可能在某些情况下暴露安全漏洞,就像所有客户端转义和连接一样。如果查询和数据一直保持分离到数据库,那么这些缺陷是不可能的。
答案 1 :(得分:0)
不,没有任何优点或缺点值得一提。
显然,关闭仿真会节省很多绑定。
没那么多。您可以仅使用LIMIT对此类情况进行绑定,并在execute()中继续对所有其他情况使用延迟绑定,即使打开仿真也是如此。