MySQL预处理语句

预制语句的SQL语法基于三个SQL语句：

        PREPARE stmt_name FROM preparable_stmt;

        EXECUTE stmt_name [USING @var_name [, @var_name] ...];

        {DEALLOCATE | DROP} PREPARE stmt_name;

PREPARE语句用于预备一个语句，并赋予它名称stmt_name，借此在以后引用该语句。

预编译SQL的存活期就是当前的会话，也就是当前的数据库连接。如果连接一断开 ，那就会消失。

例：

mysql> desc tb;

+-------+------------------+------+-----+---------+----------------+

| Field | Type             | Null | Key | Default | Extra          |

+-------+------------------+------+-----+---------+----------------+

| id    | int(10) unsigned | NO   | PRI | NULL    | auto_increment |

| Name  | char(20)         | NO   |     | NULL    |                |

| Age   | tinyint(4)       | NO   |     | NULL    |                |

+-------+------------------+------+-----+---------+----------------+

3 rows in set (0.08 sec)

mysql> PREPARE prod FROM "INSERT INTO tb VALUES(?,?,?)";

Query OK, 0 rows affected (0.58 sec)

Statement prepared

mysql> PREPARE prod FROM "INSERT INTO tb(name,age) VALUES(?,?)";

Query OK, 0 rows affected (0.00 sec)

Statement prepared

mysql> set @p='tejevo';

Query OK, 0 rows affected (0.06 sec)

mysql> set @q=20;

Query OK, 0 rows affected (0.00 sec)

mysql> execute prod using @p, @q;

Query OK, 1 row affected (0.05 sec)

mysql> select * from tb;

+----+--------+-----+

| id | Name   | Age |

+----+--------+-----+

|  1 | tejevo |  20 |

+----+--------+-----+

1 row in set (0.00 sec)

mysql> deallocate prepare prod;

说明：from后面跟的就是要进行编译的那个SQL，这个值可以是一个字面的字符串值 ，就像上面，也可以是一个变量。比如：

            set @sql = 'select * from tb';

            prepare pstmt from @sql;  

from后面跟的只能是字面值或者变量这两种情况 ，不能直接跟十六进制的字符串。

被编译的SQL只能是一条单独的语句，不能多条语句一起编译，比如：

             prepare mutisql from 'select 1;select 2';  --- 这是错误的

调用的时候利用using关键字向SQL传递参数 。

              set @value = 1;execute pstmt using @value;  

先声明一个变量来保存参数的值，然后通过后面的using @value来传SQL传递参数 。
注意这里的参数的值只能由变量来传递，不能直接写成execute pstmt using 1; 这是错误的。
多个参数之间用逗号隔开。

使用 PREPARE 的几个注意点：
A： PREPARE stmt_name FROM preparable_stmt;   预定义一个语句，并将它赋给 stmt_name ，stmt_name 是不区分大小写的。
B：参数用?代替。即使 preparable_stmt 语句中的 ? 所代表的是一个字符串，你也不需要将 ? 用引号包含起来。
C： 如果新的 PREPARE 语句使用了一个已存在的 stmt_name ，那么原有的将被立即释放！即使这个新的 PREPARE 语句因为错误而不能被正确执行。
D： PREPARE stmt_name 的作用域是当前客户端连接会话可见。
E： 要释放一个预定义语句的资源，可以使用 DEALLOCATE PREPARE 句法。
F： EXECUTE stmt_name 句法中，如果 stmt_name 不存在，将会引发一个错误。
G： 如果在终止客户端连接会话时，没有显式地调用 DEALLOCATE PREPARE 句法释放资源，服务器端会自己动释放它。
H：可以被预编译的SQL语句的类型也是有限制的，并不是所有的SQL都可以被编译。在预定义语句中，CREATE TABLE, DELETE, DO, INSERT, REPLACE, SELECT, SET, UPDATE, 和大部分的 SHOW 句法被支持。
I：PREPARE 语句不可以用于存储过程(5.0以上可以使用)，自定义函数！但从 MySQL 5.0.13 开始，它可以被用于存储过程，仍不支持在函数或触发器中使用！

更详细见官方文档：13.7. 用于预处理语句的SQL语法