PHP中Command.SqlParameters.AddWithValue() .NET的对应部分是什么?我想避免使用SQL注入,我只是想知道除了mysql_real_escape()转义字符串之外,PHP是否已经有相同的方法。
提前致谢!
答案 0 :(得分:1)
PDO的prepare()方法和PDOStatement::bindParam()或PDOStatement::bindValue()
两者之间的区别是bindParam()绑定对变量的引用。变量值可以更改,而无需重新绑定参数。这在循环中特别有用。
bindValue()只是将静态值绑定到参数。