Prepared Statements

Есть множество преимуществ в использовании prepared statements, как для безопасности, так и для улучшения производительности. Prepared statements фильтруют значения данных, добавляемых в запрос, что защищает запросы от SQL инъекций. Конечно, вы можете фильтровать переменные вручную, но тут может сказаться человеческая забывчивость и невнимательность. Конечно, это не столь важно при использовании какого-либо фреймворка или ORM.
Поскольку статья посвящена оптимизации, отмечу также выгоды для нее. Они проявляются, когда запрос выполняется много раз в приложении. Вы можете использовать для prepared statement разные значения, но MySQL будет разбирать запрос только один раз.
Кроме того, последние версии MySQL компилируют prepared statements в бинарную форму, что позволяет повысить эффективность.
Раньше многие программисты избегали prepared statements по одной единственной причине — они не кэшировались MySQL, но с версии 5.1 это не так.
Посмотрите mysqli extension для использования prepared statements или воспользуйтесь абстракцией базы данных, например, PDO.

1. // создаем a prepared statement

2. if ($stmt = $mysqli->prepare("SELECT username FROM user WHERE state=?")) {

3. // привязываем значения

4. $stmt->bind_param("s", $state);

5. // выполняем

6. $stmt->execute();

7. // привязываем результат

8. $stmt->bind_result($username);

9. // получаем данные

10. $stmt->fetch();

11. printf("%s is from %s\n", $username, $state);

12. $stmt->close();

13.}