預處理語句（Prepared Statements）是 MySQL 中一種用于執行 SQL 查詢的高效、安全的方法。通過使用預處理語句，可以顯著提升查詢性能，并防止 SQL 注入攻擊。本文將詳細介紹 MySQL 預處理語句的概念、使用方法及其優勢。

一、預處理語句概述

預處理語句是一種預編譯的 SQL 語句，包含 SQL 語句模板和綁定參數。預處理語句的執行過程分為兩步：

1. 預編譯 SQL 語句：服務器對 SQL 語句進行語法檢查，并生成執行計劃。
2. 執行預處理語句：將參數值綁定到預編譯的 SQL 語句中并執行。

二、使用預處理語句

1. 準備環境

首先，我們需要一個測試用的數據庫表。例如，我們創建一個名為?employees?的表：

CREATE TABLE employees (emp_id INT AUTO_INCREMENT PRIMARY KEY,emp_name VARCHAR(100),dept_id INT,salary DECIMAL(10, 2)
);INSERT INTO employees (emp_name, dept_id, salary) VALUES
('Alice', 1, 5000.00),
('Bob', 2, 6000.00),
('Charlie', 1, 5500.00),
('David', 3, 7000.00),
('Eve', 2, 6500.00);
?

2. 預處理語句的基本使用

預處理語句主要包括三個步驟：準備、執行和關閉。

準備預處理語句：

PREPARE stmt_name FROM 'SQL語句';
?

綁定參數并執行預處理語句：

EXECUTE stmt_name USING @param1, @param2, ...;
?

關閉預處理語句：

DEALLOCATE PREPARE stmt_name;
?

3. 示例

我們使用預處理語句來查詢部門 ID 為 1 的員工信息：

-- 準備預處理語句
PREPARE stmt FROM 'SELECT emp_id, emp_name, salary FROM employees WHERE dept_id = ?';-- 設置參數
SET @dept_id = 1;-- 執行預處理語句
EXECUTE stmt USING @dept_id;-- 關閉預處理語句
DEALLOCATE PREPARE stmt;
?

三、預處理語句的優勢

1. 提升性能

預處理語句通過預編譯 SQL 語句，避免了每次執行 SQL 語句時都進行解析和編譯，從而提升了查詢性能，特別是在需要多次執行相同 SQL 語句的場景中。

2. 防止 SQL 注入

預處理語句將參數綁定與 SQL 語句分離，避免了將用戶輸入直接插入到 SQL 語句中，從而有效防止了 SQL 注入攻擊。

四、高級用法

1. 使用多個參數

預處理語句可以使用多個參數。以下示例演示了如何使用多個參數：

-- 準備預處理語句
PREPARE stmt FROM 'SELECT emp_id, emp_name, salary FROM employees WHERE dept_id = ? AND salary > ?';-- 設置參數
SET @dept_id = 2;
SET @min_salary = 6000;-- 執行預處理語句
EXECUTE stmt USING @dept_id, @min_salary;-- 關閉預處理語句
DEALLOCATE PREPARE stmt;
?

2. 在存儲過程中使用預處理語句

預處理語句也可以在存儲過程中使用。以下是一個示例存儲過程：

DELIMITER $$CREATE PROCEDURE GetEmployeesByDept(IN dept_id INT)
BEGINPREPARE stmt FROM 'SELECT emp_id, emp_name, salary FROM employees WHERE dept_id = ?';EXECUTE stmt USING dept_id;DEALLOCATE PREPARE stmt;
END $$DELIMITER ;-- 調用存儲過程
CALL GetEmployeesByDept(1);