在另一个问题中有评论说:
"当谈到数据库查询时,总是尝试使用准备好的参数化查询.mysqli和PDO库支持这一点.这比使用诸如mysql_real_escape_string之类的转义函数更安全."
资源
所以,我想问的是:为什么准备参数化查询更安全?
php mysql security sql-injection prepared-statement
mysql ×1
php ×1
prepared-statement ×1
security ×1
sql-injection ×1