問題描述

PHP如果不使用PDO，在構(gòu)造SQL語句的時候，如何杜絕注入?

sprint 格式化字符串能杜絕嗎？

問題解答

不能。一定要轉(zhuǎn)義特殊字符如引號、反引號。一定要注意數(shù)據(jù)庫的編碼。一定要過濾語句中的特殊編碼。pdo使用了數(shù)據(jù)庫的參數(shù)綁定，所以避免了注入。