·概念

prepare statement，一种预先编译SQL指令的方式 (然后命令执行)

预处理不同于直接处理，是将要执行的SQL指令先发送给服务器编译，然后通过指令执行
●发送预处理: prepare 预处理名字 from '要执行的SQL指令'
●执行预处理: execute 预处理名字
预处理管理
●预处理属于会话级别：即当前用户当次连接有效 (断开会被服务器清理掉)
●删除预处理：deallocate / drop 预处理名字

示例

#普通操作
select * from my_stuent;
#预处理操作：发送预处理
prepare p1 from 'select * from my_stuent';
#预处理操作：执行预处理
execute p1;
#删除预处理
deallocate prepare p1;

·作用

性能优化

效率优化：同样的SQL不用每次都进行编译(编择耗时)
普通处理：每次都需要编译
预处理：编译一次
网络传输优化：复杂的SQL指令只需要传输一-次
普通处理：每次都需要网络传输SQL指令
预处理：传输一次SQL指令,以后都是执行指令

安全：有效防止SQL注入(外部通过数据的特殊使用使得SQL的执行方式改变)

普通处理：直接发送给服务器执行(容易出现SQL注入)
预处理：发送的是结构,数据是后期执行传入(传入协议不一样，数据安全性高)

·预处理传参

在执行预处理的时候传入预处理需要的可变数据，一般预处理都不会是固定死的SQL指令，而是具有一些数据可变的执行(条件)，在执行预处理的时候将实际数据传进去代替占位符执行SQL
●可变数据的位置使用占位符?占位

 prepare 预处理名字 from '预处理指令 变化部分使用?替代';

●数据存储到变量(预处理传入的值必须是变量保存的)

set @变量名 = 值;

●使用using关键字传参

execute 预处理名字 using @变量名;

●数据传入的顺序与预处理中占位符的顺序一致

示例

#准备预处理：涉及参数
prepare p1 from 'insert into my_student values (?,?,?,?,?,?)';
#设置变量并传入参数
set @stu_id = 'stu008';
set @stu_name = 'jay';
set @class_id = 5;
set @gender = 1;
set @stu_height = 175;
set @stu_age = 41;
#执行预处理
execute p1 using @stu_id, @stu_name, @class_id, @gender, @stu_height, @stu_age;