到目前为止,我一直在使用 mysql_real_escape_string,但它似乎不适用于 GoDaddy Hostings。我应该如何清理数据库的字符串?我找到了一个 PDO::quote 但手册说
“如果您使用此函数构建 SQL 语句,强烈建议您使用 PDO::prepare() 来准备带有绑定参数的 SQL 语句,而不是使用 PDO::quote() 将用户输入插入到 SQL 语句中。准备好的带有绑定参数的语句不仅更便携、更方便、不受 SQL 注入的影响,而且执行起来通常比插值查询快得多,因为服务器端和客户端都可以缓存查询的编译形式。”
这是否意味着 prepare + bind_params 正在做同样的事情?对不起我的英语不好。