в начале года делал проект. нужно было раз в сутки заносить в БД большие объемы статистических данных (я вроде даже тему тут создавал). Провел опыты с использованием PDO.
Были варианты
1. отдельные INSERT запросы
2. подготовленные запросы
3. объединенный INSERT INTO () ... VALUES ((...),(...),(...))

Первый как и ожидалось слишком медленный.
А вот второй оказался медленнее третьего.

Что касается одиночных запросов, не вижу особой разницы. Использую prepare из-за удобства.
Как говорит caballero - когда придет время писать высоконагруженные проекты, у программиста уже не будут возникать подобные вопросы. (или как-то так)

Плюсую. А за статистику отдельно спасибо

кенешно не имеет - prepared предназначен для много кратного почвтороения того же запроса, возможно с разными параметрами. но на практике выиграша по скорости все равно особо нет - выборка данных все равно занимает больше времени чем компиляция запроса. может лет 30 -40 назад смысл был

ну допустим
но все равно это синтетика
часто бывает необходимость сохранять такие рукописи? еще реже они приходят от пользователей наверное
и гораааздо реже случаи когда такие запросы случаются настолько часто что отказ от экранирования повлияет на что-то
ни дай боже столкнуться с таким проектом)))
удобство да...гарантия от инъекции да...не более

От части я согласен. Но с другой стороны представь что у тебя огромный проект где юзеры долбят БД инсертами миллион раз в секунду(образно) сообщениями различной длины или любую другую вставку где у тебя экранируется 5 значений одновременно. Ты пять раз вызовешь экранирующий метод а я нет. 5 раз вызовется метод при обращении Васей для инсерта, Пять раз Петя, 1 000 000 * 5 === вызов пять лямов раз одной функции в секунду + парсинг данных которые мы ей подсунули + увеличится затрата времени на синтаксический анализ кода ввиду того что кода стало больше.

П:С Понятное дело что такие проекты с такой нагрузкой могут никогда и не встретиться, цифру взял заведомо большую что бы более наглядно объяснить свою мысль.

Все это конечно в теории и делая запросы на локалхосте без реальной нагрузки сложно что то сказать, но несмотря на это я все же выкинул обычный query и сделал выбор в пользу подготовленных запросов. Причины уже писал и на этой и на прерыдущей странице )

или пять лямов отправки запроса на подготовку
что гораздо накладнее

Нашел интересную статью, как раз на эту тему http://habrahabr[dot]ru/post/149613/

Повторюсь, задавал вопрос :


Ведь 100% знаю, что $item_id теперь пролезет только ЧИСЛОВОЙ. Или все же есть нюансы и здесь?

есть
рано или поздно забудешь валидировать/фильтровать
(Добавление)
и кстати плейсхолдеры не отменяют валидацию

LIME
Я не DBA поэтому не могу точно ответить на этот вопрос особенно потому что я мало знаком с хитростями производительности БД за исключением банальных подходов. Опять же скажу все это в теории - на практике я ещё не успел все это пощупать.


При биндинге параметров можно явно указывать тип передаваемого значения

а хотелось бы еще и границы значений например
это можно без ручной валидации?

не пять лимонов а лимон раз. пять лимонов раз будет вызвана функция/метод экранирования для 5 параметров подставляемых в один запрос каждый раз


Я упомянул про возможность задать явный тип передаваемого значения но не про полноценную валидацию сервером с возвратом ошибок для клиента

Вообще я думаю превращать этот разговор в большую дискуссию нет смысла хотя бы потому что в конечном счете решение относительно того как "оформить" тот или иной кусок кода/операцию решается исходя из самой задачи и нет единого решения на все случаи жизни.

Т.е. дело просто в стиле(в данном случае)? Мол просто привыкать так писать везде (бинды)

(Добавление)

Угу, thanks!

не в стиле а в гарантии не пропустить инъекцию