使用带有pdo的预准备语句时,关闭仿真是否有任何副作用?我正在使用select *并将结果限制为需要作为int处理而不是字符串.我可以做两件事之一.
$conn->setAttribute( PDO::ATTR_EMULATE_PREPARES,false );
或者使用param类型显式绑定这些变量:
$stm = $pdo->prepare('SELECT * FROM table LIMIT ?,?');
$stm->bindParam(1,$limit_from,PDO::ParaM_INT);
$stm->bindParam(2,$per_page,PDO::ParaM_INT);
$stm->execute();
$data = $stm->fetchAll();
任何利弊?显然,关闭仿真会节省很多绑定.
准备语句是低级数据库驱动程序的一项功能.数据库首先接受查询结构并分别接收变量参数.同样,这是数据库本身实际支持的功能.
“模拟准备”意味着你在PHP端使用相同的API,使用单独的prepare()和bind / execute调用,但是PDO驱动程序只是在内部转义并连接字符串,发送一个好的旧的长sql字符串数据库.数据库无法使用其原生参数化查询功能.
转向模拟准备强制PDO使用数据库的本机参数化查询功能.如果您的数据库(-driver)不支持本机参数化查询,则只应打开/离开模拟准备.模拟准备仅用于支持旧数据库(-drivers),它不会更改您在PHP代码中绑定参数的方式.
仿真准备可能会在某些情况下暴露安全漏洞,就像所有客户端转义和连接一样.如果查询和数据一直保持分离到数据库,那么这些缺陷是不可能的.
