我对这个问题有了很好的解读mysqli or PDO - what are the pros and cons?。但我认为这有点过时了。准备好的陈述仍然是针对注射的最佳解决方案吗?
我要创建一个新的php界面来访问我的mysql数据库,所以我想从一开始就搞定它。
pdo也不会减慢你的查询速度吗?
答案 0 :(得分:7)
使用预准备语句/参数化查询。这是完全安全的,因为您不会将SQL与同一字符串中的数据混合,您不必再考虑转义。至少如果你没有开始以一种用户可以修改它们的方式使你的列/表名称动态化。
使用PDO我们所获得的优势绝对值得最小的性能损失。