問題描述

PHP如果不使用PDO，在構造SQL語句的時候，如何杜絕注入?

sprint 格式化字符串能杜絕嗎？

問題解答

不能。一定要轉義特殊字符如引號、反引號。一定要注意數據庫的編碼。一定要過濾語句中的特殊編碼。pdo使用了數據庫的參數綁定，所以避免了注入。