准备语句是否可以保护您的数据库？

准备语句是否可以保护您的数据库？

准备好的语句则没有。绑定参数可保护语句（而不是整个数据库）的安全，只要所有不可信数据都通过参数传递而不是插值到语句中即可。当人们使用准备好的语句时，他们几乎总是也使用绑定的参数，因此这两个名称通常会混合在一起。

1. 准备陈述
2. 以变​​量作为附加参数的运行语句

mysql_real_escape_string

几乎总是可以完成这项工作，但是由于它在流程中增加了其他步骤，因此更容易出现人为错误。

1. 转义 每个 变量
2. 将变量连接到SQL语句
3. 运行语句