示例mysql_query:
$query=mysql_query("SELECT `col1`, `col2` FROM `table` WHERE
`col1`='$escapedvariable' ");
我知道上述情况并不好。
使用prepare和execute
进行更好的查询$pSt = $dbh->prepare('SELECT col1, col2 FROM table WHERE col1=:col1);
$pSt->execute(array(':col1'=>$escapedvariable);
$status=$pSt->errorCode();
问题:我可以将mysql_query与绑定变量一起使用以增加安全性吗?