最近出于以下两个原因，使用预处理sql(prepare)。效率高。
防sql注入。
看了官方文档，php.net数据对象
但用起来还是感觉有点迷惑。效率究竟会不会提升，预处理如果是相同预处理sql，仅仅是换参数，那我想效率一定会提升的：但是，如果是下面这些情况：
//1. 在参数数量不一致的时候不能使用同一个预处理sql。如下要使用两个预处理语句。select name from product where product_id in (?, ?, ?, ?);select name from product where product_id in (?, ?, ?, ?, ?);//ps: 如果是参数数量比较多的话，不知道效率会不会比直接(12, 34, 45, 23...)慢，但直接用id列表不能预防sql注入。//2. 每次执行完预处理之后，再次执行相同的预处理，会不会速度更快。$sql = 'select name from product where product_id = ?';$statement = pdo::prepare($presql);$product_id = 111;$statement.bindparam(1, $product_id);$statement->execute();/*最理想的情况是除掉注释的，直接使用$statement调用两次。但是，平常一些sql操作并不是这么连贯(同类型的sql可能分开执行)，并不好分析。不能缓存$statement, 然后调用同一个$statement.如果第一次执行完成后，方法已经结束（资源释放），第二次执行又重新prepare相同的sql。这时候不知道会不会调用缓存的预处理sql，如果是缓存在db，应该可以调用。但如果缓存在php的话，感觉应该又要重新处理了，这样感觉没有直接使用不预处理的sql效率高。*///$sql = 'select name from product where product_id = ?';//$statement = pdo::prepare($presql);$product_id = 123;//$statement.bindparam(1, $product_id);$statement->execute();/*同理在处理order的时候，如果缓存能生效使用参数，是最好的.这样的话，就可以不用重新预处理sql。也可以防sql注入。*/

感觉写了这些，最主要的是想知道pdo perpare是怎么缓存的？或者有类似的文档也行（英文的也可以）。 回复内容： 最近出于以下两个原因，使用预处理sql(prepare)。效率高。
防sql注入。
看了官方文档，php.net数据对象
但用起来还是感觉有点迷惑。效率究竟会不会提升，预处理如果是相同预处理sql，仅仅是换参数，那我想效率一定会提升的：但是，如果是下面这些情况：
//1. 在参数数量不一致的时候不能使用同一个预处理sql。如下要使用两个预处理语句。select name from product where product_id in (?, ?, ?, ?);select name from product where product_id in (?, ?, ?, ?, ?);//ps: 如果是参数数量比较多的话，不知道效率会不会比直接(12, 34, 45, 23...)慢，但直接用id列表不能预防sql注入。//2. 每次执行完预处理之后，再次执行相同的预处理，会不会速度更快。$sql = 'select name from product where product_id = ?';$statement = pdo::prepare($presql);$product_id = 111;$statement.bindparam(1, $product_id);$statement->execute();/*最理想的情况是除掉注释的，直接使用$statement调用两次。但是，平常一些sql操作并不是这么连贯(同类型的sql可能分开执行)，并不好分析。不能缓存$statement, 然后调用同一个$statement.如果第一次执行完成后，方法已经结束（资源释放），第二次执行又重新prepare相同的sql。这时候不知道会不会调用缓存的预处理sql，如果是缓存在db，应该可以调用。但如果缓存在php的话，感觉应该又要重新处理了，这样感觉没有直接使用不预处理的sql效率高。*///$sql = 'select name from product where product_id = ?';//$statement = pdo::prepare($presql);$product_id = 123;//$statement.bindparam(1, $product_id);$statement->execute();/*同理在处理order的时候，如果缓存能生效使用参数，是最好的.这样的话，就可以不用重新预处理sql。也可以防sql注入。*/

感觉写了这些，最主要的是想知道pdo perpare是怎么缓存的？或者有类似的文档也行（英文的也可以）。
预处理语句的主要作用有以下两点：
1.更安全，pdo或底层数据库的库会特别照顾那些没有采取约束条件的绑定变量.如果你总是使用预处理语句，你将不会容易受到sql的注入攻击。
2.有时候查询可能更快，许多数据库会缓存查询计划里的预处理语句，并用符号参照事先准备好声明，而不是重新传输整个查询文本。最明显的是，你只要声明过一次预处理对象，后面就能在遇到不同变量时重用该预处理语句对象。
这两个中，更安全显然是更加重要的，这使得预处理语句缺一不可。效率高的话我觉得可能是在多个预处理中它都使用同个对象，这部分提高了效率。
原贴