PDO::exec() = prepare + execute?

不，PDO::exec()≠prepare() + execute()。它们是 PDO 提供的两种不同的 SQL 执行方式，适用于不同场景，在安全性、功能、返回值和使用限制上均有本质区别。

一、核心区别概览

二、详细解析

1.PDO::exec()：简单、危险、有限

• 用途：执行不返回结果集的 SQL 语句。
• 典型场景：

  $pdo->exec("CREATE TABLE users (id INT, name VARCHAR(100))");$pdo->exec("DELETE FROM logs WHERE created_at < '2020-01-01'");

• 致命缺陷：

  // ❌ 危险！直接拼接用户输入$table=$_GET['table'];$pdo->exec("DROP TABLE$table");// 可能 DROP 任意表！

💡exec()本质是query()的简化版，但只返回行数，且不支持绑定。

2.prepare() + execute()：安全、灵活、通用

• 用途：执行任何 SQL，尤其适合含动态值的查询。
• 工作流程：

  $stmt=$pdo->prepare("DELETE FROM users WHERE email = ?");$stmt->execute(['john@example.com']);// 安全绑定echo$stmt->rowCount();// 获取影响行数

• 优势：
  • SQL 模板与数据分离 →防注入
  • 支持SELECT→ 可获取结果集
  • 预处理语句可复用 → 性能优化

三、能否用exec()替代prepare + execute？

✅最佳实践：
只要涉及动态数据（尤其是用户输入），必须使用prepare() + execute()。
exec()仅用于完全静态、无外部输入的 DDL 或管理语句。

四、Laravel 中的使用策略

Laravel几乎从不直接使用PDO::exec()来执行含绑定的查询：

• 所有 Query Builder / Eloquent 查询 →prepare() + execute()
• Schema 操作（如Schema::create()）→ 内部可能用exec()，但 SQL 由 Laravel 生成，无用户输入

例如：

// Laravel 内部（简化）publicfunctionstatement($query,$bindings=[]){if(empty($bindings)){return$this->getPdo()->exec($query);// ← 仅当无绑定时用 exec()}$statement=$this->getPdo()->prepare($query);return$statement->execute($bindings);// ← 有绑定时用 prepare+execute}

五、总结

PDO::exec()是“一次性、无绑定、无结果”的快捷方式；
prepare() + execute()是“安全、通用、可复用”的标准方式。

因此，永远不要认为exec()等价于prepare + execute—— 它们是为不同目的设计的工具，安全性天差地别。