[MySQL]——SQL预编译、动态sql

在MySQL中，预编译语句通常是指使用参数化查询，这样可以避免SQL注入的风险。MySQL支持预编译语句，你可以使用问号（?）作为占位符，然后使用prepare，execute和deallocate语句来执行动态SQL。

以下是一个使用预编译语句的例子：

-- 创建一个预编译语句
PREPARE stmt_name FROM 'SELECT * FROM table_name WHERE column_name = ?';
 
-- 执行预编译语句，绑定参数
EXECUTE stmt_name USING @param;
 
-- 删除预编译语句
DEALLOCATE PREPARE stmt_name;

在这个例子中，?是一个参数占位符，@param是实际要绑定的参数值。预编译语句可以提高安全性，特别是在处理用户输入时。

动态SQL是指在运行时构造SQL语句。在MySQL中，你可以使用CONCAT函数或者CONCAT_WS函数来构造动态SQL。

以下是一个构造动态SQL的例子：

SET @sql = NULL;
SELECT CONCAT('SELECT * FROM ', table_name, ' WHERE ', column_name, ' = ', @param) INTO @sql;
 
PREPARE stmt_name FROM @sql;
EXECUTE stmt_name;
DEALLOCATE PREPARE stmt_name;

在这个例子中，我们首先将SQL语句的不同部分存储在变量中，然后使用CONCAT函数将它们组合成一个完整的SQL语句。然后，我们可以使用PREPARE语句来执行这个动态构造的SQL。

注意：在实际应用中，请务必确保参数化查询的使用，以及对输入进行适当的验证和清理，以防止SQL注入攻击。