人们倾向于选择PDO数据库API而不是mysqli。你经常会发现关于mysqli的问题的回答是这样的:"忘记mysqli,使用PDO。"这是安全的方法。"所以我跟着做,掌握了这个PDO概念,准备语句并绑定它们等等。
但这有什么大不了的?为什么人们要通过这种方式使用数据库呢?如何保护您的应用程序免受SQL注入?
PDO不是针对SQL注入的保护措施。你仍然可以在PDO中编写完全危险的可注入查询,而PDO不会在意。
PDO所做的是提供TOOLS,允许您安全地编写查询。
但是不要责怪PDO,如果它提供了一个安全的锤子,然后你继续用你的额头去钉一些钉子。PDO做了它的工作,提供了工具,你才是那个头骨上有钉子洞的人。