為什麼 PDO 是轉義 MySQL 查詢的首選？

PDO（PHP 資料物件）是 PHP 中強大的資料庫抽象層，為存取各種資料庫系統（包括 MySQL）提供一致的介面。雖然 mysql_real_escape_string() 是專門為保護 MySQL 查詢免受 SQL 注入而定制的特定函數，但 PDO 為資料庫交互提供了更全面、更靈活的方法。

PDO 相對於mysql_real_escape_string() 的優點:

• 資料庫獨立性： PDO支援多種資料庫引擎，無需進行重大程式碼修改即可實現不同系統之間的無縫切換。
• 自動轉義： PDO 自動處理轉義查詢，確保特殊字元被正確轉義，防止 SQL 注入攻擊。
• 參數綁定： PDO 支援參數綁定，讓您單獨指定查詢參數。這使得建立安全性查詢變得更加容易，並防止 SQL 注入漏洞。
• 準備好的語句： PDO 準備和快取查詢，透過避免重新編譯和參數綁定開銷來提高效能。

PDO 工作原理：

PDO 類別定義封裝資料庫互動功能的方法。您可以建立 PDO 物件並呼叫這些物件上的方法，而不是使用 mysql_connect() 或 mysql_query() 等函數。

例如，考慮使用 PDO 進行轉義的以下程式碼：

$dsn = 'mysql:dbname=someDB;host=someHost';
$username = 'userName';
$password = 'password';

$db = new PDO($dsn, $username, $password);

$query = "SELECT * FROM someTable WHERE something = :comparison";
$statement = $db->prepare($query);
$statement->execute([':comparison' => $comparison]);

如您所見，PDO 方法涉及實例化 PDO 物件、準備查詢並使用參數化值執行它。

結論：

雖然 mysql_real_escape_string() 提供了轉義 MySQL 查詢的特定方法，但 PDO 為資料庫互動提供了更通用、更健壯的解決方案。它的自動轉義、參數綁定和資料庫獨立性使其成為安全高效資料庫存取的首選。