一、SQL语句的执行处理模式

  SQL语句的执行处理模式分为两种：即时SQL（Immediate Statements）和预处理SQL（Prepared Statements）

二、即时SQL

 1、定义

  动态的根据传入的参数拼接SQL语句并执行，一条语句经过MYSQL Server层分析器、优化器、执行器组件，分别进行词法、语义分析、优化SQL语句、选择索引、制定执行计划、执行并返回结果。

  其中，对SQL语句进行词法语义分析、优化SQL语句、选择索引、制定执行计划等一系列操作，称为“对SQL语句的编译”。

  如上，1条SQL语句按照此流程处理，一次编译，单次运行，此类普通语句被称作“即时SQL”。

三、预处理SQL

 1、定义

  很多情况，我们的一条sql语句可能会反复执行，或者每次执行的时候只有个别的值不同（比如query的where子句值不同，update的set子句值不同,insert的values值不同）。
如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等，则效率就明显不行了。

  所谓预编译语句就是将这类语句中的值用占位符替代，可以视为将sql语句模板化或者说参数化，一般称这类语句叫Prepared Statements或者Parameterized Statements

2、优势

 1）性能提高  

  预编译语句的优势在于归纳为：一次编译、多次运行，省去了解析优化等过程；此外预编译语句能防止sql注入。
  当然就优化来说，很多时候最优的执行计划不是光靠知道sql语句的模板就能决定了，往往就是需要通过具体值来预估出成本代价。

 2）防止SQL注入

  下面是一个登户登录的校验，当你输入用户名和密码，点击登录，信息传到服务器，服务器端会从User表中查询有无该用户，以下是两种SQL语句的差别。

-- 用户登录校验
select username, password from user where username='张三' and password='123'
 
-- 普通语句
select username, password from user where username='saggd' and password='' or '1'='1';
 
-- 预编译SQL安全
select username, password from user where username=? ans password=?;

3、语法

# 定义预处理语句
PREPARE stmt_name FROM preparable_stmt;
# 执行预处理语句
EXECUTE stmt_name [USING @var_name [, @var_name] ...];
# 删除(释放)定义
{DEALLOCATE | DROP} PREPARE stmt_name;

4、预处理SQL使用注意点

 1）stmt_name 作为 preparable_stmt 的接收者，唯一标识，不区分大小写。
 2）preparable_stmt 语句中的 ? 是个占位符，所代表的是一个字符串，不需要将 ? 用引号包含起来。
 3）定义一个已存在的 stmt_name ，原有的将被立即释放，类似于变量的重新赋值。
 4）PREPARE stmt_name 的作用域是session级