PDO MySQL: 준비된 명령문 또는 쿼리 캐시? 어느 것을 우선순위로 두어야 합니까?

PDO MySQL: 쿼리 캐시 및 준비된 문 보안 활용

MySQL은 최적화와 보안을 위해 기본 준비된 문과 쿼리 캐시를 모두 제공합니다. 그러나 질문이 생깁니다. PDO 구성에서 무엇을 우선시해야 합니까?

신념 폭로

일반적인 인식은 다음과 같습니다.

• PDO의 준비된 명령문 에뮬레이션은 더 나은 성능을 제공합니다.
• MySQL의 기본 준비된 명령문 SQL 주입에 대한 보안을 강화합니다.
• MySQL의 기본 준비된 명령문은 더 나은 오류 보고 기능을 제공합니다.

그러나 이러한 명령문은 최신 MySQL 및 PHP 버전에서는 적용되지 않을 수 있습니다.

성능 vs. 보안

성능면에서는 MySQL 버전이 5.1.17 이상에서는 준비된 문으로 쿼리 캐싱을 허용합니다. 따라서 최신 MySQL 및 PHP 버전에서는 성능과 보안을 모두 활용할 수 있습니다.

보안과 관련하여 기본 준비된 명령문은 SQL 삽입에 대한 추가 보호 기능을 제공하지 않습니다. PDO는 이미 쿼리 매개변수 값을 이스케이프하며 이 프로세스는 EMULATE_PREPARES 설정의 영향을 받지 않습니다.

오류 보고

네이티브 준비된 문은 준비 중에 구문 오류를 트리거하고 에뮬레이트된 준비는 수행됩니다. 문은 그러한 오류를 실행 시간으로 연기합니다. 이는 특히 PDO::ERRMODE_EXCEPTION을 사용하여 작성하는 코드에 영향을 미칩니다.

추가 고려 사항

• 네이티브 준비된 문은 준비 중에 고정 비용을 발생시킵니다. 따라서 준비된 명령문을 재사용하지 않는 경우 에뮬레이트된 준비된 명령문은 약간의 성능 이점을 제공할 수 있습니다.
• 기본 준비된 명령문에 대한 쿼리 계획은 캐시되고 공유될 수 있지만 이는 MySQL에서 발생하는 것으로 알려져 있지 않습니다.

권장

이전 MySQL 및 PHP 버전의 경우 에뮬레이트하는 것이 좋습니다. 준비된 진술. 그러나 최신 버전의 경우 (에뮬레이션을 꺼서) 기본으로 준비된 명령문을 사용해야 합니다.

Custom PDO 연결 기능

아래는 PDO 연결을 위한 코드 스니펫입니다. 최적의 설정을 갖춘 기능:

function connect_PDO($settings) {
    $emulate_prepares_below_version = '5.1.17';

    $dsnpairs = [];
    foreach ($settings as $k => $v) {
        if ($v !== null) {
            $dsnpairs[] = "{$k}={$v}";
        }
    }

    $dsn = 'mysql:'.implode(';', $dsnpairs);
    $dbh = new PDO($dsn, $settings['user'], $settings['pass']);

    $serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION);
    $emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<'));
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares);

    return $dbh;
}

이 기능을 활용하거나 특정 기본 설정에 맞게 사용자 정의하면 다음을 달성할 수 있습니다. PDO 연결의 성능과 보안 사이의 이상적인 균형.

위 내용은 PDO MySQL: 준비된 명령문 또는 쿼리 캐시? 어느 것을 우선순위로 두어야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!