ストアドプロシージャを利用した方がいいのか？

sqlをデータベース側で処理し、その結果を返すようにすることでサーバの負担は減るということであっているのでしょうか？

この場合は負荷軽減という意味は全くありません。もとから実行したいSQL文が1文しかないので、それをストアドにしたところで何も削減できる余地はありません。

回答ありがとうございます。
sql文が複数あり複雑な場合にストアドプロシージャを利用すれば良いということですね。

procedureを利用すればSQL側でインジェクション対策ができるので「全く意味がない」とまではいいきれません。

SQL
1create table tbl(id int primary key,val varchar(10));
2insert into tbl values
3(1,'a'),
4(2,'aaa'),
5(3,'1a2'),
6(4,'1aaa2'),
7(5,'b'),
8(6,'ab'),
9(7,'bbb');
10
11drop procedure if exists proc_like_val;
12delimiter //
13create procedure proc_like_val(in v varchar(10))
14begin
15set @a=concat('%',v,'%');
16set @sql='select * from tbl where val like ? ';
17prepare stmt from @sql;
18execute stmt using @a;
19end
20//
21delimiter ;

これに対して

SQL
1call proc_like_val('a');
2call proc_like_val('aaa');

が有効なことは確認できるでしょう
たとえばインジェクションをねらって、SQL文を忍び込ませてもはじいてくれます
ただ、普通はプログラム側でプレースホルダ処理は行いますのでバリデーションだけを目的にprocedureを利用することは少ないかもしれません

#3
ご回答ありがとうございます。

プロシージャ機能を利用するとインジェクション対策になることは知りませんでした。
私がフレームワークとして利用しているDjangoでは基本的にORMによってインジェクション対策されていると出てきたのでプロシージャを使う意味はあまりないのかもしれないですけど、勉強のために触ってみます！

ありがとうございます。

今回の質問の環境に関して言えば、使う必要はないと思います。

私はストアドプロシージャを好みません。
ソース管理がややこしくなっていくからです。
ソースコード内にSQLを書けばメンテナンスはコード内だけで済みます。
不具合が出た時にソース内SQLやストアドを行ったり来たりするのが煩雑で
修正プログラムをリリースするのに合わせてストアドも一緒にリリースしないといけないので
そのタイミング合わせも煩わしいと感じてます。

私がストアドを使っていたのは

• 複雑な集計処理を出来るだけ高速化したかった
• 言語仕様の桁数より大きい数値の計算（VBA）

でも実際にストアドを使ってみてその便利さや不便さを
体験するのも大切だと思いますよ。

ストアドプロシージャの利用がSQLインジェクション対策になるか否かという話は、以前以下の記事に書きましたので、よろしければ御覧ください。

SQLインジェクション対策の極意はSQL文を組み立てないことにあり