MySQL 准备语句：超越转义

虽然手动转义是防止 SQL 注入的常见方法，但它可能容易出错。 PDO（PHP 数据对象）在标准 MySQL 中提供了强大的替代方案。

PDO 确保所有数据库输入都被视为文本，从而无需手动转义。这种方法与用于数据显示的正确 HTML 实体编码相结合，提供了针对注入的坚实防御。

要与 PDO 建立数据库连接，请创建一个数据库对象：

try {
    $db = new PDO("mysql:host=[hostname];dbname=[database]", '[username]', '[password]');
    $db->setAttribute(PDO::MYSQL_ATTR_INIT_COMMAND, "SET NAMES utf8");
    $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $db->exec('SET NAMES utf8');
} catch (PDOException $e) {
    echo $e->getMessage();
}

要准备查询，请使用准备方法：

$stmt = $db->prepare('SELECT * FROM Table WHERE id = ?');

使用bindParam将值绑定到查询的占位符method:

$stmt->bindParam(1, $id);

使用execute方法执行查询：

$stmt->execute();

PDO 提供了许多优点：

• 自动文本数据处理： 无需手动转义。
• 简化查询构建： 使用占位符防止注入。
• 异常处理： 提供全面的错误处理功能。

请记住始终使用 PDO 进行数据库连接，并将其与适当的 HTML 实体编码结合起来安全的数据处理。 PDO 提供了一种强大而有效的方法来保护您的应用程序免受 SQL 注入。