PDO 和准备好的语句对我来说仍然有点困惑,无论我到目前为止读了多少。所以我知道它们更“安全”,但这真的那么重要吗?我的意思是我可以使用带有 mysql_real_escape_string() 和 htmlspecialchars() 的基本 mysql 获得相同的最终结果,对吗?
最佳答案
你可以,但是 PDO 和准备好的语句绝对是最安全的。您可以手动完成并使用 mysql_real_escape_string() 函数吗?当然。事实上,您的输出可能看起来完全相同。但最终,PDO 所需的代码将比您手动完成的代码短得多。
此外,如果您不使用准备好的语句,您将面临人为错误的风险:比如您忘记转义值或清理输入。与您的所有其他代码混合在一起,未正确清理的一行代码可能会成为 future 的噩梦。
希望这对您有所帮助!
关于php - 我真的应该使用 PDO 和准备好的语句吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2038991/