MySQL之prepare用法

最新推荐文章于 2024-07-28 02:39:34 发布
转载 最新推荐文章于 2024-07-28 02:39:34 发布 · 5.3k 阅读 · 6 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/nemowang1996/p/8590669.html
文章标签:

#数据库

本文详细介绍了MySQL中的预处理语句(PREPARESTATEMENT),包括prepare、execute和deallocate命令的使用方法及示例。预处理语句能够提高SQL执行效率,减少语法解析,并能有效防止SQL注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,习惯称其为【预处理语句】,下面是对其详细的介绍。

示例代码

PREPARE stmt_name FROM preparable_stmt

EXECUTE stmt_name
 [USING @var_name [, @var_name] ...] -

{DEALLOCATE | DROP} PREPARE stmt_name

 

举个栗子:

mysql> PREPARE pr1 FROM 'SELECT ?+?';
Query OK, 0 rows affected (0.01 sec)
Statement prepared

mysql> SET @a=1, @b=10 ;
Query OK, 0 rows affected (0.00 sec)

mysql> EXECUTE pr1 USING @a, @b;
+------+
| ?+? |
+------+
| 11 |
+------+
1 row in set (0.00 sec)

mysql> EXECUTE pr1 USING 1, 2; -- 只能使用用户变量传递。
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the 
right syntax to use near '1, 2' at line 1

mysql> DEALLOCATE PREPARE pr1;
Query OK, 0 rows affected (0.00 sec)

 

使用PAREPARE STATEMENT可以减少每次执行SQL的语法分析,比如用于执行带有WHERE条件的SELECT和DELETE,或者UPDATE,或者INSERT,只需要每次修改变量值即可。

同样可以防止SQL注入,参数值可以包含转义符和定界符。

适用在应用程序中,或者SQL脚本中均可。

更多用法:

同样PREPARE ... FROM可以直接接用户变量:

mysql> CREATE TABLE a (a int);
Query OK, 0 rows affected (0.26 sec)

mysql> INSERT INTO a SELECT 1;
Query OK, 1 row affected (0.04 sec)
Records: 1 Duplicates: 0 Warnings: 0

mysql> INSERT INTO a SELECT 2;
Query OK, 1 row affected (0.04 sec)
Records: 1 Duplicates: 0 Warnings: 0

mysql> INSERT INTO a SELECT 3;
Query OK, 1 row affected (0.04 sec)
Records: 1 Duplicates: 0 Warnings: 0

mysql> SET @select_test = CONCAT('SELECT * FROM ', @table_name);
Query OK, 0 rows affected (0.00 sec)

mysql> SET @table_name = 'a';
Query OK, 0 rows affected (0.00 sec)

mysql> PREPARE pr2 FROM @select_test;
Query OK, 0 rows affected (0.00 sec)
Statement prepared

mysql> EXECUTE pr2 ;
+------+
| a |
+------+
| 1 |
| 2 |
| 3 |
+------+
3 rows in set (0.00 sec)

mysql> DROP PREPARE pr2; -- 此处DROP可以替代DEALLOCATE
Query OK, 0 rows affected (0.00 sec)

 

每一次执行完EXECUTE时,养成好习惯,须执行DEALLOCATE PREPARE … 语句,这样可以释放执行中使用的所有数据库资源(如游标)。

不仅如此,如果一个session的预处理语句过多,可能会达到max_prepared_stmt_count的上限值。

预处理语句只能在创建者的会话中可以使用,其他会话是无法使用的。

而且在任意方式(正常或非正常)退出会话时,之前定义好的预处理语句将不复存在。

如果在存储过程中使用,如果不在过程中DEALLOCATE掉,在存储过程结束之后,该预处理语句仍然会有效。

转载于:https://www.cnblogs.com/nemowang1996/p/8590669.html

MySQL Prepared语句(Prepared Statements)
Vincent的博客
04-17 3383
数据库应用中,很多SQL语句都会重复执行很多次,每次执行可能只是where条件中的变量值不同,但MySQL依然会解析SQL语法并生成执行计划。对于这类情况,可以利用prepared语句来避免重复解析SQL的开销。
mysql prepare命令_MySQLprepare用法 NemoWang
weixin_39851974的博客
01-27 740
MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,习惯称其为【预处理语句】,下面是对其详细的介绍。示例代码PREPARE stmt_name FROMpreparable_stmtEXECUTEstmt_name[USING @var_name [, @var_name] ...] -{DEALLOCATE | DROP} PREPARE...
mysql set语句_MySQL Prepared语句简介
weixin_39755853的博客
12-05 438
之前的MySQL版本4.1,查询以文本格式发送到MySQL服务器。 之后,MySQL服务器使用文本协议将数据返回给客户端。MySQL必须完全解析查询,并将结果集转换为字符串,然后再将其返回给客户端。 文本协议具有严重的性能问题。为了解决这个问题,MySQL自版本4.1以来添加了一个名为prepare语句的来实现一些新功能。prepare语句利用客户端/服务器二进制协议。 它将包含占位符(?)的查询...
mysql prepare语句使用
热门推荐
zhxp_870516的专栏
01-22 2万+
语法 PREPARE statement_name FROM sql_text /*定义*/ EXECUTE statement_name [USING variable [,variable...]] /*执行预处理语句*/ DEALLOCATE PREPARE statement_name /*删除定义*/ 例 mysql> PREPARE prod FROM "INSE
mysql-prepare用法
line_on_database的博客
04-20 2287
一、基本用法 # 准备可以引用的语句,?代表参数: # 准备好的语句特定于创建它的会话。 如果您终止会话而不释放先前准备的语句,则服务器会自动释放它。 # 准备好的语句对于会话也是全局的。 如果在存储过程中创建准备好的语句,则在存储过程结束时不会释放它。 PREPARE stmt1 FROM 'SELECT SQRT(POW(?,2) + POW(?,2)) AS hypotenuse'; # 设置变量 SET @a = 3; SET @b = 4; #调用准备好的语句 EXECUTE stmt1 U
MySQL中预处理语句prepare、execute与deallocate的使用教程
01-21
MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,我习惯称其为【预处理语句】,其用法十分简单,下面话不多说,来一起看看详细的介绍吧。 示例代码 PREPARE stmt_name FROM preparable_stmt ...
Java之MySQLprepareStatement的基本使用
qq_45920729的博客
02-18 3563
1.什么是prepareStatement prepareStatement是表示预编译的 SQL 语句的对象。 2.为什么使用prepareStatement 1.以前的statement的执行,是先拼接sql语句然后在一起执行。在这种情况下,如果sql语句中的变量带有了数据库的关键字,那么一并认为是是关键字,而不是普通的字符串。 2.使用prepareStatement时,预先处理给定的S...
c++ mysql prepare 操作类
友谊
04-01 1253
#include "PrepareCreator.h" bool PrepareCreator::prepare(const char* sql) { this->_stmt = mysql_stmt_init(this->_connection); if (!this->_stmt) { this->stmtErrorInfo(...
MySQL prepare语句的SQL语法
09-11
MySQL PREPARE语句是数据库查询优化的一种方法,主要用于创建可重复使用的SQL语句模板,以便在后续操作中高效地执行。它允许你先定义一个SQL语句,然后使用参数来执行这个语句,这在处理大量重复的相似查询时非常...
mysql prepare例子_mysql prepare语句使用
weixin_42528296的博客
02-01 271
每次都看别人的,今天我自己写下来,以后就不用看别人的了语法PREPARE statement_name FROM sql_text /*定义*/EXECUTE statement_name [USING variable [,variable...]] /*执行预处理语句*/DEALLOCATE PREPARE statement_name /*删除定义*/例mysql> PREPARE p...
MySQL学习 预处理语句prepare
baynk的博客
04-01 665
一直认为预处理语句结合PHP中PDO是可以用来有效防止SQL注入的,直到在writeup中看到有用预处理语句来绕过限制完成注入的,脑洞大开! 0x01 预处理语句 MySQL语法常用三个语句: PREPARE stmt_name FROM preparable_stmt; //预备语句 EXECUTE stmt_name [USING @var_name [, @var_name] ...
mysql的预定义语句_通过实例理解Mysql prepare预处理语句
weixin_35647899的博客
01-20 410
简单的用set或者declare语句定义变量,然后直接作为sql的表名是不行的,mysql会把变量名当作表名。在其他的sql数据库中也是如此,mssql的解决方法是将整条sql语句作为变量,其中穿插变量作为表名,然后用sp_executesql调用该语句。这在mysql5.0之前是不行的,5.0之后引入了一个全新的语句,可以达到类似sp_executesql的功能(仅对procedure有效,fu...
mysql prepare命令_MySQL prepare语句的SQL语法
weixin_30935961的博客
01-19 1288
MySQL prepare语法:PREPAREstatement_nameFROMpreparable_SQL_statement;/*定义*/EXECUTEstatement_name [USING@var_name[, @var_name] ...];/*执行预处理语句*/{DEALLOCATE | DROP}PREPAREstatement_name /*删除定义*/ ;P...
mysql preparing状态_MySQL简单使用
weixin_39658474的博客
02-01 692
转载自:https://www-900.ibm.com/cn/support/viewdoc/detail?DocId=2011073000000MySQL简单使用MySQL简单使用MySQL最初广泛地使用在Linux系统,随着MySQL的普及,在一些主流的UNIX系统中,如AIX,Solaris,也逐渐的多了起来,这篇文章将介绍如何在AIX平台上使用MySQL数据库。在以下的内容中将按照数据库初...
mysql prepare 存储过程使用
nimeijian的专栏
01-07 1242
原文链接:http://maoyifa100.iteye.com/blog/1900305 语法 [sql] PREPARE statement_name FROM sql_text /*定义*/    EXECUTE statement_name [USING variable [,variable...]] /*执行预处理语句*/    DEALL
mysql Prepare 权限
weixin_41319672的博客
07-28 142
MySQL Prepare 权限:使用预编译语句提高安全性和性能 在MySQL数据库中,Prepare权限允许用户创建预编译语句。预编译语句是一种特殊的SQL语句,它在执行前被编译并存储在数据库中,可以多次执行而无需重新编译。这不仅可以提高查询性能,还可以增强安全性。 为什么使用预编译语句? 性能提升:预编译语句在首次执...
mysql prepare from_MySQLprepare用法
weixin_39606361的博客
01-19 2310
创建一个存储过程,输入一个表名$tablename、一个由多个列名组成的字符串$fieldset和一个用于数据过滤的字符串$filter,检索这个表指定列的值中包含这个过滤字符串的所有记录,并返回满足过滤条件的记录行数。例如,检索客户表在客户编码、客户名称、客户地址、联系人等列中所有包含“商贸”这个字符串的所有客户记录。在输入参数$fieldset中,列名之间用分号分隔,例如:CustomerID...
mysql prepare语法_MySQLprepare语句的SQL语法_MySQL
weixin_31437777的博客
02-01 440
bitsCN.comMySQL prepare语法:PREPAREstatement_name FROM preparable_SQL_statement; /*定义*/EXECUTE statement_name [USING @var_name [, @var_name] ...]; /*执行预处理语句*/{DEALLOCATE | DROP} PREPARE statement_name /...
mysqlPREPARE详解
最新发布
03-11
<think>好的,我现在需要详细解释MySQL中的PREPARE语句的用法,并且给出示例。首先,我得回想一下PREPARE的基本概念。用户可能已经知道预处理语句可以提升性能,但具体怎么用可能不太清楚。 首先,应该先介绍PREPARE的作用,比如防止SQL注入,动态生成SQL语句。然后要分步骤说明,从PREPARE到EXECUTE再到DEALLOCATE的流程。可能需要提到用户变量和本地变量的区别,用户变量用@符号,而本地变量在存储过程中使用。 接下来,给出一个基础示例,比如动态查询用户表,根据不同的条件执行。这时候需要用PREPARE ... FROM来准备语句,用USING传递参数。同时要注意字符串拼接的方式,比如用户输入的表名可能需要用CONCAT函数处理。 然后,可能需要一个存储过程内的示例,展示如何在过程中使用预处理语句。比如动态创建临时表,或者在循环中执行不同的SQL语句。这时候要注意变量作用域的问题,比如在存储过程中声明变量需要使用DECLARE。 还要提到一些注意事项,比如预处理语句的作用域仅限于当前会话,不能跨连接使用。同时,预处理语句的参数占位符只能用于数据值,不能用于表名或列名,这时候需要用字符串拼接来处理动态对象名,但要注意SQL注入的风险,可能需要额外的验证。 然后,根据用户提供的引用内容,引用[1]提到了临时表的问题,所以在示例中可能需要避免这种情况,或者在动态SQL中正确使用临时表。引用[2]提到了查询结果集的返回,可能在EXECUTE后处理结果集的方式需要注意。 最后,生成相关问题的时候,要考虑用户可能进一步想知道的内容,比如预处理语句和普通语句的性能差异,或者如何在其他编程语言中使用预处理语句,或者如何防止SQL注入的具体方法。这些都可以作为相关问题提出。 检查一下是否有语法错误,比如PREPARE的语法是否正确,EXECUTE的用法,以及DEALLOCATE的顺序。确保示例中的SQL语句是正确可运行的,比如表名和变量是否正确使用。同时,确保使用中文回答,数学公式如果有的话要用$符号,不过这个问题里可能用不上数学公式,但需要注意其他格式要求,比如代码块用反引号包裹。 总结一下,回答的结构应该是先概述,然后详细步骤,接着基础示例和存储过程示例,注意事项,最后相关问题。需要确保每个部分都清晰,并且覆盖用户可能遇到的问题。</think>### MySQL PREPARE语句详解 #### 1. 基本概念 `PREPARE`语句用于创建**动态SQL预处理语句**,支持参数占位符(`?`)实现安全高效的数据操作。预处理语句可重复执行不同参数值,有效防止SQL注入攻击[^1]。 #### 2. 使用流程 ```sql -- 1. 准备语句 PREPARE stmt_name FROM 'sql_template'; -- 2. 执行语句(可多次调用) EXECUTE stmt_name [USING @var1, @var2...]; -- 3. 释放资源 DEALLOCATE PREPARE stmt_name; ``` #### 3. 基础示例 **动态查询用户表:** ```sql SET @table_name = 'users'; SET @user_id = 100; -- 准备含占位符的语句 PREPARE select_stmt FROM CONCAT('SELECT * FROM ', @table_name, ' WHERE id = ?'); -- 执行并传入参数 EXECUTE select_stmt USING @user_id; DEALLOCATE PREPARE select_stmt; ``` #### 4. 存储过程应用 ```sql DELIMITER $$ CREATE PROCEDURE dynamic_query(IN col_name VARCHAR(64)) BEGIN SET @query = CONCAT('SELECT ', col_name, ' FROM products'); PREPARE dynamic_stmt FROM @query; EXECUTE dynamic_stmt; DEALLOCATE PREPARE dynamic_stmt; END$$ DELIMITER ; -- 调用示例 CALL dynamic_query('product_name, price'); ``` #### 5. 关键特性 | 特性 | 说明 | |-----------------------|--------------------------------------------------------------------| | 参数限制 | 占位符仅适用于数据值,表/列名需字符串拼接(需注意注入风险) | | 作用域 | 预处理语句仅在当前会话有效 | | 性能优势 | 重复执行时减少SQL解析开销 | #### 6. 安全实践 ```sql -- 验证表名合法性 SET @table = 'user_input_table'; SET @allowed_tables = 'users,products'; PREPARE validate_stmt FROM 'SELECT IF(FIND_IN_SET(?, ?) > 0, "VALID", "INVALID") AS result'; EXECUTE validate_stmt USING @table, @allowed_tables; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值