Vin*_*ent 0 php mysql pdo sql-injection
我对这个问题mysqli或PDO有一个很好的阅读- 有什么优点和缺点?.但我认为这有点过时了.准备好的陈述仍然是针对注射的最佳解决方案吗?
我将创建一个新的php界面来访问我的mysql数据库,所以我想从一开始就把它弄好.
也不会减慢你的查询速度吗?
使用预准备语句/参数化查询.这是完全安全的,因为您不会将SQL与同一字符串中的数据混合,您不必再考虑转义.至少如果您没有开始以一种用户可以修改它们的方式使列/表名称动态化.
使用PDO我们获得的优势绝对值得最小的性能损失.