Есть ли преимущество в использовании подготовленных операторов в PDO, когда нет переменных, входящих в запрос sql.

Question

Подготовленные утверждения подходят для защиты от SQL-инъекции, но если в SQL-запросе нет переменных, есть ли какие-либо преимущества в используя подготовленное заявление? особенно если запрос будет использоваться только один раз?

например. есть ли преимущество в использовании методов prepare() и execute() с использованием только запроса() или есть ли преимущество использования только запроса в этом случае? например Производительность benfit

Answer 1

Нет, нет никакой пользы. Хотя разница незначительна, вы всегда можете написать функцию реализовать даже такую ​​небольшую оптимизацию:

class MyPDO extends PDO 
{ 
    public function run($sql, $args = NULL) 
    { 
     if (!$args) 
     { 
      return $this->query($sql); 
     } 
     $stmt = $this->prepare($sql); 
     $stmt->execute($args); 
     return $stmt; 
    } 
} 

теперь вы получили PDO, который может решить, будет ли работать подготовленное заявление или нет:

$pdo = new MyPDO(...); 
$count = $pdo->run("SELECT count(*) FROM t")->fetchColumn(); // no prepare 
$user = $pdo->run("SELECT * FROM t WHERE id=?",[$id])->fetch(); // prepare 

Answer 2

Если вы используете запрос только один раз, то это будет без разницы, за исключением того, что подготовленный оператор создаст метаплан выполнения (но это не заметная разница в производительности). Если вы используете запрос с подготовленными инструкциями несколько раз с разными параметрами, вы получаете небольшое улучшение производительности, потому что оператор скомпилируется только один раз на стороне сервера, а затем вы можете передавать разные параметры несколько раз. Запрос будет скомпилирован только при использовании реальных подготовленных операторов, если вы используете эмулированные подготовленные инструкции, тогда он не будет скомпилирован, и, кроме того, защита sql-вреда не будет иметь разницы в производительности.