Когда *не* для использования подготовленных операторов?

Сегодняшнее правило разработки программного обеспечения: , если это не собирается делать что-нибудь для Вас, не используйте его.

Когда не для использования подготовленных операторов? Когда Вы только собираетесь быть выполнением оператора однажды, соединение дб уходит.

, Когда не для использования связанных параметров запроса (который является действительно, что большинство людей использует подготовленные операторы для получения)? Я склонен говорить "никогда", и я действительно хотел бы сказать "никогда", но действительность - то, что большинство баз данных и некоторые уровни абстракции дб имеют определенные обстоятельства, при которых они не позволят Вам связывать параметры, таким образом, Вы будете вынуждены не использовать их в тех случаях. Любое другое время, тем не менее, это сделает Вашу жизнь более простыми и Ваш код более безопасный для использования их.

я не знаком с PDO, но я держал пари, что он обеспечивает механизм для выполнения параметрических запросов со значениями, данными в том же вызове функции, если Вы не хотите готовиться, затем работаете как отдельный шаг. (например, Что-то как run_query("SELECT * FROM users WHERE id = ?", 1) или подобный.)

кроме того, если Вы смотрите под капотом, большинство уровней абстракции дб подготовит запрос, затем выполнит его, даже если Вы просто скажете ему выполнять статический SQL-оператор. Таким образом, Вы, вероятно, не сохраняете прохождение в дб путем предотвращения явный, готовится во всяком случае.

Подготовленные операторы используются тысячами людей и поэтому хорошо протестированы (и таким образом можно вывести, они довольно безопасны). Ваше настраиваемое решение только используется Вами.

шанс, что Ваше настраиваемое решение небезопасно, довольно высок. Используйте подготовленные операторы. Необходимо поддержать меньше кода тот путь.

Преимущества подготовленных операторов следующие:

• каждый запрос только компилируется однажды
• , mysql будет использовать более эффективный транспортный формат для отправки данных в сервер

Однако, подготовленные операторы только сохраняются для каждого подключения. Если Вы не используете организацию пула подключений, не было бы никакого преимущества, если Вы только делаете один оператор на страницу. Тривиально простые запросы не извлекли бы выгоду из более эффективного транспортного формата, также.

Лично я не обеспокоился бы. Псевдоподготовленные операторы, вероятно, будут полезны для безопасного заключения в кавычки переменной, которое они, по-видимому, обеспечивают.

Честно, я не думаю, что необходимо волноваться об этом. Однако я помню, что много поддерживаемых платформ доступа к данным PHP готовят режимы оператора и не готовят режимы оператора. Если я помню правильно, PEAR:DB действительно отступил в день.

я имею, столкнулся с той же проблемой, как у Вас и меня было мое собственное резервирование, таким образом, вместо того, чтобы использовать PDO я закончил тем, что писал свой собственный легкий слой базы данных, который поддерживал, готовится и стандартные операторы и выполненный корректный выход (предотвращение внедрения SQL) в обоих случаях. Одно из моих других схватываний с готовится, то, что иногда более эффективно добавить некоторый ненеобязательный вход к оператору как... ГДЕ идентификатор В (1, 2, 3...).

я не знаю достаточно о PDO, чтобы сказать Вам, что другие опции у Вас есть использование его. Однако я действительно знаю, что PHP имеет функции выхода в наличии для всех поставщиков базы данных, которых он поддерживает, и Вы могли прокрутить свой собственный небольшой слой сверх любого уровня доступа к данным, с которым Вы застреваете.