PHP PDO准备好的语句是否需要转义？

PDO不会转义变量。变量和SQL命令通过MySQL连接独立传输。和 SQL标记生成器（分析器）从未着眼于价值
。仅将值逐字复制到数据库存储中，而不会造成任何损害。这就是为什么无需将数据与准备好的语句编组在一起的原因。

请注意，这主要是速度优势。使用mysql_real_escape_string（），您首先需要在PHP中编组变量，然后将效率低下的SQL命令发送到服务器，这将导致昂贵的实际SQL命令与值的隔离。这就是为什么经常说安全优势只是隐式的，而不是使用PDO的主要原因。

如果您使用SQL命令并没有实际使用准备好的语句（不好！），那么可以，PDO仍然有一个转义函数：$ pdo-> quote（$
string）