PDO防止SQL注入的方法

如果你已经从mysql库过渡到PDO，你可能想知道如何替换real_escape_string用于转义发往数据库的字符串中的单引号的函数。虽然向每个字符串添加斜杠可能看起来很麻烦，但 PDO 提供了一种更有效的替代方案。

PDO 准备的强大功能

为了防止 SQL 注入，PDO 建议使用其准备（）方法。此方法通过启用查询计划和元信息的缓存来优化应用程序的性能。此外，它消除了手动参数引用的需要，从而防止 SQL 注入攻击。

PDO 准备如何工作

当您执行 PDO::prepare() 时，PDO建立一个准备好的声明。然后该语句被编译并缓存，提高执行效率。当您准备好执行带有参数的查询时，您可以调用 PDOStatement::execute()，它将参数注入到准备好的语句中，而无需手动引用。

用法示例

下面是使用 PDOprepare() 和execute() 的示例：

$pdo = new PDO("...");
$sql = "INSERT INTO users (username, email) VALUES (?, ?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$username, $email]);

通过使用 PDOprepare() 和execute()，您可以安全地执行参数化查询，而无需手动字符串转义。这可以简化您的代码并通过防止 SQL 注入攻击来增强安全性。