0

我已经很好地阅读了这个问题mysqli 或 PDO - 优点和缺点是什么?. 但我认为它有点过时了。准备好的语句仍然是对抗注射的最佳解决方案吗?

我将创建一个新的 php 接口来访问我的 mysql 数据库,所以我想从一开始就做好它。

pdo 也不会减慢您的查询速度吗?

4

1 回答 1

7

使用准备好的语句/参数化查询。这是完全安全的,因为您不会将 SQL 与同一字符串中的数据混合在一起,并且您不必再考虑转义。至少如果您不开始以用户可以修改它们的方式使列/表名称动态化。

您通过使用 PDO 获得的优势绝对值得最小的性能损失。

于 2012-05-16T10:43:07.163 回答