pdopdopdopdo

正常情况下，客户端向mysql数据库发送的是一个完整的sql语句（字符串）。mysql收到这个字符串后，解析sql（“编译”）、执行sql、返回结果。但这样的字符串sql可能会有攻击行为，比如sql注入的风险（select * from user where 1=1;delete from user本来是想查一下用户表中的数据，结果被黑客做了sql注入，删除了user表）。

如果在客户端进行预编译后，那么客户端向mysql发送的就不是一条普通的sql，而是分两次发送。第一次发送的是带参数的sql（不能直接执行），第二次发送参数和值。mysql接收到后，省略了解析sql的过程（性能比第一种稍好一些），因为第一次发来的sql中有占位符，所以mysql只需要把占位符用第二次发过来的值填充就好了。这时候的攻击语句会被当成变量来处理，用于攻击的特殊符号会被直接转义掉。从而失去攻击的作用