PDO MySQL: Verwenden Sie PDO :: ATTR_EMULATE_PREPARES oder nicht?

Folgendes habe ich bisher gelesen PDO::ATTR_EMULATE_PREPARES:

1. Die Vorbereitungsemulation von PDO ist für die Leistung besser, da die native Vorbereitung von MySQL den Abfragecache umgeht .
2. Die native Vorbereitung von MySQL ist aus Sicherheitsgründen besser (verhindert SQL Injection) .
3. Die native Vorbereitung von MySQL eignet sich besser für die Fehlerberichterstattung .

Ich weiß nicht mehr, wie wahr eine dieser Aussagen ist. Mein größtes Anliegen bei der Auswahl einer MySQL-Schnittstelle ist die Verhinderung von SQL Injection. Das zweite Problem ist die Leistung.

Meine Anwendung verwendet derzeit prozedurales MySQLi (ohne vorbereitete Anweisungen) und verwendet den Abfrage-Cache ziemlich oft. Vorbereitete Anweisungen werden selten in einer einzigen Anforderung wiederverwendet. Ich habe die Umstellung auf PDO für die genannten Parameter und die Sicherheit der vorbereiteten Anweisungen gestartet.

Ich benutze MySQL 5.1.61undPHP 5.3.2

Soll ich PDO::ATTR_EMULATE_PREPARESaktiviert lassen oder nicht? Gibt es eine Möglichkeit, sowohl die Leistung des Abfragecaches als auch die Sicherheit vorbereiteter Anweisungen zu gewährleisten?

Um Ihre Bedenken zu beantworten:

1. MySQL> = 5.1.17 (oder> = 5.1.21 für die Anweisungen PREPAREund EXECUTE) kann vorbereitete Anweisungen im Abfragecache verwenden . Ihre Version von MySQL + PHP kann also vorbereitete Anweisungen mit dem Abfragecache verwenden. Beachten Sie jedoch die Einschränkungen beim Zwischenspeichern von Abfrageergebnissen in der MySQL-Dokumentation. Es gibt viele Arten von Abfragen, die nicht zwischengespeichert werden können oder die nutzlos sind, obwohl sie zwischengespeichert sind. Nach meiner Erfahrung ist der Abfrage-Cache sowieso nicht oft ein großer Gewinn. Abfragen und Schemata erfordern eine spezielle Konstruktion, um den Cache maximal zu nutzen. Oft ist Caching auf Anwendungsebene auf lange Sicht ohnehin notwendig.

2. Native Vorbereitungen machen keinen Unterschied für die Sicherheit. Die pseudo-vorbereiteten Anweisungen entziehen sich weiterhin den Abfrageparameterwerten. Sie werden nur in der PDO-Bibliothek mit Zeichenfolgen anstatt auf dem MySQL-Server unter Verwendung des Binärprotokolls ausgeführt. Mit anderen Worten, derselbe PDO-Code ist unabhängig von Ihrer EMULATE_PREPARESEinstellung gleichermaßen anfällig (oder nicht anfällig) für Injektionsangriffe . Der einzige Unterschied besteht darin, wo die Parameterersetzung erfolgt - mit EMULATE_PREPARES, in der PDO-Bibliothek; ohne EMULATE_PREPAREStritt es auf dem MySQL-Server auf.

3. Ohne EMULATE_PREPARESkönnen Syntaxfehler eher zur Vorbereitungszeit als zur Ausführungszeit auftreten. Mit erhalten EMULATE_PREPARESSie nur zur Ausführungszeit Syntaxfehler, da PDO bis zur Ausführungszeit keine Abfrage an MySQL senden muss. Beachten Sie, dass dies Auswirkungen auf den Code hat, den Sie schreiben werden ! Besonders wenn Sie verwenden PDO::ERRMODE_EXCEPTION!

Eine zusätzliche Überlegung:

• Es gibt feste Kosten für a prepare()(unter Verwendung nativer vorbereiteter Anweisungen), daher kann a prepare();execute()mit nativen vorbereiteten Anweisungen etwas langsamer sein als die Ausgabe einer einfachen Textabfrage unter Verwendung emulierter vorbereiteter Anweisungen. Auf vielen Datenbanksystemen wird der Abfrageplan für a ebenfalls prepare()zwischengespeichert und kann für mehrere Verbindungen freigegeben werden, aber ich glaube nicht, dass MySQL dies tut. Wenn Sie Ihr vorbereitetes Anweisungsobjekt also nicht für mehrere Abfragen wiederverwenden, ist Ihre Gesamtausführung möglicherweise langsamer.

Als letzte Empfehlung denke ich, dass Sie mit älteren Versionen von MySQL + PHP vorbereitete Anweisungen emulieren sollten, aber mit Ihren neuesten Versionen sollten Sie die Emulation deaktivieren.

Nachdem ich einige Apps geschrieben habe, die PDO verwenden, habe ich eine PDO-Verbindungsfunktion erstellt, die meiner Meinung nach die besten Einstellungen aufweist. Sie sollten wahrscheinlich so etwas verwenden oder Ihre bevorzugten Einstellungen anpassen:

/**
 * Return PDO handle for a MySQL connection using supplied settings
 *
 * Tries to do the right thing with different php and mysql versions.
 *
 * @param array $settings with keys: host, port, unix_socket, dbname, charset, user, pass. Some may be omitted or NULL.
 * @return PDO
 * @author Francis Avila
 */
function connect_PDO($settings)
{
    $emulate_prepares_below_version = '5.1.17';

    $dsndefaults = array_fill_keys(array('host', 'port', 'unix_socket', 'dbname', 'charset'), null);
    $dsnarr = array_intersect_key($settings, $dsndefaults);
    $dsnarr += $dsndefaults;

    // connection options I like
    $options = array(
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
    );

    // connection charset handling for old php versions
    if ($dsnarr['charset'] and version_compare(PHP_VERSION, '5.3.6', '<')) {
        $options[PDO::MYSQL_ATTR_INIT_COMMAND] = 'SET NAMES '.$dsnarr['charset'];
    }
    $dsnpairs = array();
    foreach ($dsnarr as $k => $v) {
        if ($v===null) continue;
        $dsnpairs[] = "{$k}={$v}";
    }

    $dsn = 'mysql:'.implode(';', $dsnpairs);
    $dbh = new PDO($dsn, $settings['user'], $settings['pass'], $options);

    // Set prepared statement emulation depending on server version
    $serverversion = $dbh->getAttribute(PDO::ATTR_SERVER_VERSION);
    $emulate_prepares = (version_compare($serverversion, $emulate_prepares_below_version, '<'));
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, $emulate_prepares);

    return $dbh;
}

Achten Sie beim Deaktivieren PDO::ATTR_EMULATE_PREPARES(Aktivieren der nativen Vorbereitungen) darauf, dass Ihr PHP pdo_mysqlnicht kompiliert wird mysqlnd.

Da old libmysqlmit einigen Funktionen nicht vollständig kompatibel ist, kann es zu seltsamen Fehlern kommen, zum Beispiel:

1. Verlust der wichtigsten Bits für 64-Bit-Ganzzahlen beim Binden als PDO::PARAM_INT(0x12345678AB wird auf einem 64-Bit-Computer auf 0x345678AB zugeschnitten)
2. Unfähigkeit, einfache Abfragen wie zu machen LOCK TABLES(es löst eine SQLSTATE[HY000]: General error: 2030 This command is not supported in the prepared statement protocol yetAusnahme aus)
3. Sie müssen vor der nächsten Abfrage alle Zeilen aus dem Ergebnis abrufen oder den Cursor schließen (mit mysqlndoder emuliert wird dies automatisch für Sie erledigt und nicht nicht mehr mit dem MySQL-Server synchronisiert).

Diese Fehler habe ich in meinem einfachen Projekt herausgefunden, als ich auf einen anderen Server migriert habe, der libmysqlfür das pdo_mysqlModul verwendet wurde. Vielleicht gibt es noch viel mehr Fehler, ich weiß es nicht. Auch ich habe auf frischem 64bit Debian Jessie getestet, alle aufgelisteten Bugs treten auf, wenn ich apt-get install php5-mysql, und verschwinden, wenn ich apt-get install php5-mysqlnd.

Wann PDO::ATTR_EMULATE_PREPARESist auf true gesetzt (standardmäßig) - diese Fehler treten ohnehin nicht auf, da PDO in diesem Modus überhaupt keine vorbereiteten Anweisungen verwendet. Wenn Sie also pdo_mysqlbasierend auf verwenden libmysql("mysqlnd" Teilzeichenfolge erscheint nicht im Feld "Client API Version" des pdo_mysqlAbschnitts in phpinfo) - sollten Sie nicht deaktivieren PDO::ATTR_EMULATE_PREPARES.

Ich würde Emulate-Vorbereitungen deaktivieren, während Sie 5.1 ausführen, was bedeutet, dass PDO die native Funktionalität für vorbereitete Anweisungen nutzt.

PDO_MYSQL nutzt die native Unterstützung für vorbereitete Anweisungen in MySQL 4.1 und höher. Wenn Sie eine ältere Version der MySQL-Client-Bibliotheken verwenden, emuliert PDO diese für Sie.

http://php.net/manual/en/ref.pdo-mysql.php

Ich habe MySQLi für PDO wegen der vorbereiteten benannten Anweisungen und der besseren API über Bord geworfen.

Um ausgeglichen zu sein, arbeitet PDO vernachlässigbar langsamer als MySQLi, aber es ist etwas zu beachten. Ich wusste das, als ich die Wahl traf, und entschied, dass eine bessere API und die Verwendung des Industriestandards wichtiger sind als die Verwendung einer vernachlässigbar schnelleren Bibliothek, die Sie an eine bestimmte Engine bindet. FWIW Ich denke, das PHP-Team sieht PDO gegenüber MySQLi auch für die Zukunft positiv.

Ich würde empfehlen, echte Datenbankaufrufe zu aktivieren, PREPAREda die Emulation nicht alles abfängt. Zum Beispiel wird sie vorbereitet INSERT;!

var_dump($dbh->prepare('INSERT;'));
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
var_dump($dbh->prepare('INSERT;'));

Die Ausgabe

object(PDOStatement)#2 (1) {
  ["queryString"]=>
  string(7) "INSERT;"
}
bool(false)

Ich nehme gerne einen Performance-Hit für Code, der tatsächlich funktioniert.

FWIW

PHP-Version: PHP 5.4.9-4ubuntu2.4 (cli)

MySQL Version: 5.5.34-0ubuntu0

Warum die Emulation auf "falsch" stellen?

Der Hauptgrund dafür ist, dass das Datenbankmodul die Vorbereitung anstelle des PDO durchführt, da die Abfrage und die tatsächlichen Daten getrennt gesendet werden, was die Sicherheit erhöht. Das heißt, wenn die Parameter an die Abfrage übergeben werden, werden Versuche, SQL in sie einzufügen, blockiert, da von MySQL vorbereitete Anweisungen auf eine einzelne Abfrage beschränkt sind. Dies bedeutet, dass eine wirklich vorbereitete Anweisung fehlschlägt, wenn eine zweite Abfrage in einem Parameter übergeben wird.

Das Hauptargument gegen die Verwendung des Datenbankmoduls für die Vorbereitung und das PDO sind die zwei Fahrten zum Server - eine für die Vorbereitung und eine für die Übergabe der Parameter -, aber ich denke, die zusätzliche Sicherheit ist es wert. Zumindest im Fall von MySQL war das Zwischenspeichern von Abfragen seit Version 5.1 kein Problem mehr.

https://tech.michaelseiler.net/2016/07/04/dont-emulate-prepared-statements-pdo-mysql/

Ich bin überrascht, dass niemand einen der Hauptgründe für das Deaktivieren der Emulation genannt hat. Bei aktivierter Emulation gibt PDO alle Ganzzahlen zurück und schwebt als Zeichenfolgen . Wenn Sie die Emulation deaktivieren, werden Ganzzahlen und Gleitkommazahlen in MySQL zu Ganzzahlen und Gleitkommazahlen in PHP.

Weitere Informationen finden Sie in der akzeptierten Antwort auf diese Frage: PHP + PDO + MySQL: Wie gebe ich in PHP ganzzahlige und numerische Spalten aus MySQL als Ganzzahlen und Zahlen zurück? .

Für die Aufzeichnung

PDO :: ATTR_EMULATE_PREPARES = true

Es könnte eine böse Nebenwirkung erzeugen. Es könnte int-Werte als Zeichenfolge zurückgeben.

PHP 7.4, pdo mit mysqlnd.

Ausführen einer Abfrage mit PDO :: ATTR_EMULATE_PREPARES = true

Spalte: id
Typ: Ganzzahl
Wert: 1

Ausführen einer Abfrage mit PDO :: ATTR_EMULATE_PREPARES = false

Spalte: id
Typ: Zeichenfolge
Wert: "1"

In jedem Fall werden Dezimalwerte unabhängig von der Konfiguration immer als Zeichenfolge zurückgegeben :-(