我对这个问题mysqli或PDO有一个很好的阅读 - 有什么优点和缺点?但我认为它有点过时了。准备好的陈述仍然是防止注射的最佳解决方案吗?
我将创建一个新的 php 接口来访问我的 mysql 数据库,所以我想从一开始就把它做好。
pdo 也不会减慢您的查询速度吗?
使用预准备语句/参数化查询。这是完全安全的,因为您不会将SQL与同一字符串中的数据混合在一起,也不必再考虑转义。至少如果您不开始以用户可以修改它们的方式使列/表名称动态化。
通过使用PDO我们获得的优势绝对值得最小的性能损失。