数据库为啥要使用参数绑定？

阅读更多

存储过程（Stored Procedure）是在大型数据库系统中，一组为了完成特定功能的SQL 语句集，经编译后存储在数据库中，用户通过指定存储过程的名字并给出参数（如果该存储过程带有参数）来执行它。

 

1. 为什么使用绑定变量?
这是解决Oracle应用程序可伸缩性的一个关键环节;而Oracle的共享池就决定了开发人员必须使用绑定变量;如果想要Oracle 运行减慢,甚至完全终止,那就可以不用绑定变量;
这里举例说明上述问题;
为了查询一个员工代号是123,你可以这样查询:
select * from emp where empno=’123’;

 

你也可以这样查询:
select * from emp where empno=:empno;

 

象我们往常一样,你查询员工’123’一次以后,有可能再也不用;接着你有可能查询员工’456’,然后查询’789’等等;如果查询使用象第一个查询语句,你每次查询都是一个新的查询(我们叫它硬编码的查询方法);因此,Oracle每次必须分析,解析,安全检查, 优化等等;
第二个查询语句提供了绑定变量:empno,它的值在查询执行时提供,查询经过一次编译后,查询方案存储在共享池中,可以用来检索和重用;在性能和伸缩性方面,这两者的差异是巨大的,甚至是惊人的;通俗点讲,就不是一个级别;
第一个查询使用的频率越高,所消耗的系统硬件资源越大,从而降低了用户的使用数量;它也会把优化好的其它查询语句从共享池中踢出;就象一个老鼠坏了一锅汤似的,系统的整体性能降低; 而执行绑定变量,提交相同对象的完全相同的查询的用户(这句话,大家听起来比较难理解,随后我会给出详细的解释),一次性使用就可重复使用,其效率不言耳语; 打个形象的比喻来说,第一个查询就象一次性使用的筷子,而第二个查询象是铁筷子,只要洗干净,张三李四都能用,合理有效地使用了资源;

 

 

 

2、关于Oracle数据库的参数绑定性能实践的一个实例简介。

AD：

 

从Oracle的SGA的构成来看，它是推崇使用参数绑定的。使用参数绑定可以有效的使用Share Pool，对已经缓存的SQL不用再硬解析，能明显的提高性能。

具体实践如下：

 

SQL>create table test (a number(10));< 

 

再创建一个存储过程：

 

create or replace procedure p_test is
  i number(10);
begin
  i := 0;
   while i <= 100000 loop
    execute immediate ' insert into test values (' || to_char(i) || ')';
    i := i + 1;
  end loop;

  commit;

end p_test; 

 

先测试没有使用参数绑定的：

运行 p_test 后，用时91.111秒。

再创建一个使用参数绑定的：

 

create or replace procedure p_test is
  i number(10);
begin
  i := 0;
  while i <= 100000 loop
    execute immediate ' insert into test values (:a)'
      using i;
    i := i + 1;
  end loop;
  commit;

end p_test; 

 

运行 p_test 后，用时55.099秒。

从上面的运行时间可以看出，两者性相差 39.525％，可见，用不用参数绑定在性能上相差是比较大的。

 

3、那么使用语句参数的方式，和使用字符串处理函数的方式相比，有什么好处呢？主要有以下三点：

  （1） 使用“语句参数”方式，具有更高的安全性，可以有效防止“SQL注入攻击”。 “SQL注入攻击”要想达到目的，就必须让attack value随着SQL命令字符串一起传送进SQL解析器。黑客如果在一条SQL命令字符串被送入到sqlite3_prepare函数之前，利用c字符串处理函数等途径将attack value注入其中，而在sqlite3_prepare函数之中进行解析（parse），就可以达到攻击目的。而使用“语句参数”方式，被传送到sqlite3_prepare函数的只是SQL命令字符串中的参数符号（如：“?”），而不是具体的值。在sqlite3_prepare函数执行之后，才会使用bind函数给参数符号绑定具体的值，这就可以避免attack value随着SQL命令字符串一起在sqlite3_prepare函数中被解析，从而有效躲避“SQL注入攻击”。

  （2）使用“语句参数”方式，可以更快的完成值替换。

  （3）使用“语句参数”方式，更节省内存。原因是使用如snprintf函数，需要一个SQL命令模板，一块足够大的输出缓存，而且字符串处理函数需要工作内存（working memory），除此之外对于整形，浮点型，特别是BLOBs，经常会占用更多的空间。