为什么 PDO 是转义 MySQL 查询的首选？

PDO（PHP 数据对象）是 PHP 中强大的数据库抽象层，为访问各种数据库系统（包括 MySQL）提供一致的接口。虽然 mysql_real_escape_string() 是专门为保护 MySQL 查询免受 SQL 注入而定制的特定函数，但 PDO 为数据库交互提供了更全面、更灵活的方法。

PDO 相对于 mysql_real_escape_string() 的优点:

• 数据库独立性： PDO支持多种数据库引擎，无需进行重大代码修改即可实现不同系统之间的无缝切换。
• 自动转义： PDO 自动处理转义查询，确保特殊字符被正确转义，防止 SQL 注入攻击。
• 参数绑定： PDO 支持参数绑定，允许您单独指定查询参数。这使得构建安全查询变得更加容易，并防止 SQL 注入漏洞。
• 准备好的语句： PDO 准备和缓存查询，通过避免重新编译和参数绑定开销来提高性能。

PDO 工作原理：

PDO 类定义封装数据库交互功能的方法。您可以创建 PDO 对象并调用这些对象上的方法，而不是使用 mysql_connect() 或 mysql_query() 等函数。

例如，考虑使用 PDO 进行转义的以下代码：

$dsn = 'mysql:dbname=someDB;host=someHost';
$username = 'userName';
$password = 'password';

$db = new PDO($dsn, $username, $password);

$query = "SELECT * FROM someTable WHERE something = :comparison";
$statement = $db->prepare($query);
$statement->execute([':comparison' => $comparison]);

如您所见，PDO 方法涉及实例化 PDO 对象、准备查询并使用参数化值执行它。

结论：

虽然 mysql_real_escape_string() 提供了转义 MySQL 查询的特定方法，但 PDO 为数据库交互提供了更通用、更健壮的解决方案。它的自动转义、参数绑定和数据库独立性使其成为安全高效数据库访问的首选。