无论我到目前为止阅读了多少关于它们的内容,PDO和准备好的陈述仍然让我感到困惑.所以我知道他们更"安全",但它真的那么重要吗?我的意思是我可以使用mysql_real_escape_string()和htmlspecialchars()的基本mysql获得相同的最终结果吗?
mat*_*sta 10
你可以,但PDO和准备好的陈述是绝对最安全的.你能用手工做并使用这个mysql_real_escape_string()功能吗?当然.实际上,您的输出可能看起来相同.但最后,如果您手动完成,那么PDO所需的代码将比代码短得多.
此外,如果您不使用预准备语句,则存在人为错误的风险:假设您忘记了转义值或清理输入.与你的所有其他代码混合在一起,没有正确消毒的那一行可能会成为一场噩梦.
希望这可以帮助!