PDO MySQL：是否使用PDO :: ATTR_EMULATE_PREPARES？

这是我到目前为止阅读的内容PDO::ATTR_EMULATE_PREPARES：

1. 由于MySQL的本机准备绕过了查询缓存，因此PDO的准备仿真在性能上更好。
2. MySQL的本机准备更好地提高了安全性（防止SQL注入）。
3. MySQL的本机准备更好地用于错误报告。

我不知道这些陈述的真实性。在选择MySQL接口时，我最大的担心是防止SQL注入。第二个问题是性能。

我的应用程序当前使用过程MySQLi（没有准备好的语句），并且充分利用了查询缓存。它很少会在单个请求中重复使用准备好的语句。我开始使用PDO来获取命名参数和已准备好的语句的安全性。

我正在使用MySQL 5.1.61和PHP 5.3.2

我应该保持PDO::ATTR_EMULATE_PREPARES启用状态吗？有没有办法兼顾查询缓存的性能和准备好的语句的安全性？

要回答您的问题：

1. MySQL> = 5.1.17（或PREPAREand EXECUTE语句为> = 5.1.21 ）可以在查询缓存中使用准备好的语句。因此，您的MySQL + PHP版本可以在查询缓存中使用准备好的语句。但是，请注意MySQL文档中有关缓存查询结果的注意事项。存在许多无法缓存的查询或即使被缓存也无用的查询。以我的经验，无论如何，查询缓存通常不是一个很大的胜利。查询和模式需要特殊的构造才能最大程度地利用缓存。从长远来看，经常需要结束应用程序级缓存。

2. 本机准备对于安全性没有任何影响。伪准备的语句仍将转义查询参数值，它将仅在带有字符串的PDO库中完成，而不是在使用二进制协议的MySQL服务器上完成。换句话说，无论您的EMULATE_PREPARES设置如何，相同的PDO代码都同样容易受到（或不受攻击）注入攻击。唯一的区别是参数替换发生的位置-使用EMULATE_PREPARES，它发生在PDO库中；没有EMULATE_PREPARES，它发生在MySQL服务器上。

3. 如果没有，EMULATE_PREPARES您可能会在准备时而不是执行时得到语法错误；与EMULATE_PREPARES您一起只会在执行时收到语法错误，因为PDO直到执行时才向MySQL提供查询。请注意，这会影响您将编写的代码！特别是如果您正在使用PDO::ERRMODE_EXCEPTION！

附加注意事项：

• prepare()（使用本机预处理语句）的成本是固定的，因此prepare();execute()使用本机预处理语句的速度可能比使用模拟的预备语句发布纯文本查询要慢一些。在许多数据库系统上，a的查询计划也prepare()被缓存，并且可以与多个连接共享，但是我认为MySQL不会这样做。因此，如果不将准备好的语句对象用于多个查询，则整体执行速度可能会变慢。

作为最后的建议，我认为对于旧版本的MySQL + PHP，您应该模拟准备好的语句，但是对于最近的版本，您应该关闭模拟。

在编写了一些使用PDO的应用程序之后，我做了一个PDO连接功能，该功能具有我认为是最佳的设置。您可能应该使用类似的方法或调整您的首选设置：

/**
 * Return PDO handle for a MySQL connection using supplied settings
 *
 * Tries to do the right thing with different php and mysql versions.
 *
 * @param array $settings with keys: host, port, unix_socket, dbname, charset, user, pass. Some may be omitted or NULL.
 * @return PDO
 * @author Francis Avila
 */
function connect_PDO($settings)
{
    $emulate_prepares_below_version = '5.1.17';

    $dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null);
    $dsnarr = array_intersect_key($settings, $dsndefaults);
    $dsnarr += $dsndefaults;

    // connection options I like
    $options = array(
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
    );

    // connection charset handling for old php versions
    if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) {
        $options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset'];
    }
    $dsnpairs = array();
    foreach ($dsnarr as $k => $v) {
        if ($v===null) continue;
        $dsnpairs[] = "{$k}={$v}";
    }

    $dsn = 'mysql:'.implode(';', $dsnpairs);
    $dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options);

    // Set prepared statement emulation depending on server version
    $serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION);
    $emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<'));
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares);

    return $dbh;
}

PDO::ATTR_EMULATE_PREPARES当pdo_mysql不对PHP 进行编译时，请注意禁用（启用本机准备）mysqlnd。

由于old libmysql与某些功能不完全兼容，因此可能导致奇怪的错误，例如：

1. 绑定为PDO::PARAM_INT（64位计算机上的0x12345678AB将被裁剪为0x345678AB）时，丢失64位整数的最高有效位
2. 无法进行简单的查询，例如LOCK TABLES（它引发SQLSTATE[HY000]: General error: 2030 This command is not supported in the prepared statement protocol yet异常）
3. 在下一个查询之前需要从结果或关闭游标中获取所有行（使用mysqlnd或模拟它会自动为您完成此工作，并且不会与mysql服务器不同步）

这些错误是我在迁移到其他libmysql用于pdo_mysql模块的服务器时在我的简单项目中发现的。也许还有更多错误，我不知道。我也在新鲜的64位debian jessie上进行了测试，列出的所有bug都在我出现时出现apt-get install php5-mysql，而在我出现时消失apt-get install php5-mysqlnd。

当PDO::ATTR_EMULATE_PREPARES设置为true（默认） -这些错误不会反正发生，因为PDO未出现在此模式下全部使用准备好的语句。因此，如果您pdo_mysql基于使用libmysql（“ mysqlnd”子字符串未出现pdo_mysql在phpinfo部分的“ Client API version”字段中），则不应PDO::ATTR_EMULATE_PREPARES关闭。

我将在运行5.1时关闭仿真准备，这意味着PDO将利用本机准备语句功能。

PDO_MYSQL将利用MySQL 4.1及更高版本中的本机预备语句支持。如果您使用的是较旧版本的mysql客户端库，PDO将为您模拟它们。

http://php.net/manual/zh/ref.pdo-mysql.php

为了准备好的命名语句和更好的API，我放弃了MySQLi for PDO。

但是，为了达到平衡，PDO的性能要比MySQLi慢得多，但是要牢记这一点。当我做出选择时，我就知道这一点，并决定更好的API和使用行业标准比使用可以忽略的更快的库（将您绑定到特定引擎）更为重要。FWIW，我认为PHP团队也希望在将来通过MySQLi进行PDO。

我建议启用真实的数据库PREPARE调用，因为仿真不会捕获所有内容。例如，它将准备INSERT;！

var_dump($dbh->prepare('INSERT;'));
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
var_dump($dbh->prepare('INSERT;'));

输出

object(PDOStatement)#2 (1) {
  ["queryString"]=>
  string(7) "INSERT;"
}
bool(false)

我很乐意为实际工作的代码带来性能上的提升。

第一次世界大战

PHP版本：PHP 5.4.9-4ubuntu2.4（cli）

MySQL版本：5.5.34-0ubuntu0

为什么要将仿真切换为“假”？

这样做的主要原因是让数据库引擎执行准备而不是PDO是因为查询和实际数据是分开发送的，从而提高了安全性。这意味着，当参数传递给查询时，将阻止向其注入SQL的尝试，因为MySQL准备的语句仅限于单个查询。这意味着当在参数中传递第二个查询时，真正的预处理语句将失败。

反对将数据库引擎用于prepare vs PDO的主要论点是两次到服务器的旅程–一次是准备，另一次是传递参数–但是我认为增加安全性是值得的。另外，至少在MySQL情况下，自5.1版以来，查询缓存就不再是问题。

https://tech.michaelseiler.net/2016/07/04/dont-emulate-prepared-statements-pdo-mysql/

我很惊讶，没有人提到关闭仿真的最大原因之一。启用仿真后，PDO返回所有整数，并以string形式浮点数。当您关闭仿真时，MySQL中的整数和浮点数将变为PHP中的整数和浮点数。

有关更多信息，请参见以下问题的可接受答案：PHP + PDO + MySQL：如何从MySQL返回整数和数字列作为PHP中的整数和数字？。

作为记录

PDO :: ATTR_EMULATE_PREPARES = true

它可能会产生讨厌的副作用。它可以将int值作为字符串返回。

PHP 7.4，带有mysqlnd的pdo。

使用PDO :: ATTR_EMULATE_PREPARES = true运行查询

列：id
类型：整
数值：1

使用PDO :: ATTR_EMULATE_PREPARES = false运行查询

列：id
类型：字符串
值：“ 1”

无论如何，无论配置如何，十进制值总是返回一个字符串：-(