好吧,我已经阅读了2个小时关于mysql_real_escape()和addslashes()以及其他内容,但我的问题是:我怎样才能使用PDO并完全安全?
答案 0 :(得分:1)
您可以使用prepared statements执行此操作。例如:
// $pdo = new PDO(...);
$query = $pdo->prepare('SELECT * FROM table WHERE name = ?');
$query->execute(array($_GET['name'])); // Replaces ? with the
// value in $_GET['name']
您无需担心手动转义任何用户输入的数据,例如上例中的$_GET['name']。