数据库为啥要使用参数绑定？

从Oracle的SGA的构成来看，它是推崇使用参数绑定的。使用参数绑定可以有效的使用Share Pool，对已经缓存的SQL不用再硬解析，能明显的提高性能。

具体实践如下：

SQL>create table test (a number(10));< 

再创建一个存储过程：

create or replace procedure p_test is
  i number(10);
begin
  i := 0;
   while i <= 100000 loop
    execute immediate ' insert into test values (' || to_char(i) || ')';
    i := i + 1;
  end loop;

  commit;

end p_test; 

先测试没有使用参数绑定的：

运行 p_test 后，用时91.111秒。

再创建一个使用参数绑定的：

create or replace procedure p_test is
  i number(10);
begin
  i := 0;
  while i <= 100000 loop
    execute immediate ' insert into test values (:a)'
      using i;
    i := i + 1;
  end loop;
  commit;

end p_test; 

运行 p_test 后，用时55.099秒。

从上面的运行时间可以看出，两者性相差 39.525％，可见，用不用参数绑定在性能上相差是比较大的。

3、那么使用语句参数的方式，和使用字符串处理函数的方式相比，有什么好处呢？主要有以下三点：

  （1） 使用“语句参数”方式，具有更高的安全性，可以有效防止“SQL注入攻击”。 “SQL注入攻击”要想达到目的，就必须让attack value随着SQL命令字符串一起传送进SQL解析器。黑客如果在一条SQL命令字符串被送入到sqlite3_prepare函数之前，利用c字符串处理函数等途径将attack value注入其中，而在sqlite3_prepare函数之中进行解析（parse），就可以达到攻击目的。而使用“语句参数”方式，被传送到sqlite3_prepare函数的只是SQL命令字符串中的参数符号（如：“?”），而不是具体的值。在sqlite3_prepare函数执行之后，才会使用bind函数给参数符号绑定具体的值，这就可以避免attack value随着SQL命令字符串一起在sqlite3_prepare函数中被解析，从而有效躲避“SQL注入攻击”。

  （2）使用“语句参数”方式，可以更快的完成值替换。

  （3）使用“语句参数”方式，更节省内存。原因是使用如snprintf函数，需要一个SQL命令模板，一块足够大的输出缓存，而且字符串处理函数需要工作内存（working memory），除此之外对于整形，浮点型，特别是BLOBs，经常会占用更多的空间。