关于防止sql注入的几个知识点

1.PDO预处理是。 你可以把他看成是要运行的sql的已经编译过的模板,它可以用变量参数进行定制 它有两个显著优点: 1.1:查询仅需解析一次,但可以用相同或者不同参数执行多次。换句话说如果要以不同的参数执行同样的语句执行多次,利用PDO可以大大降低应用程序的速度。 1.2:提供给预处理的语句不需要携带引号,所以可以有效防止sql的注入。但是如果查询的其他部分是由未转义的输入来构建的,则仍存在sql注入的风险。 1.3:另外pdo预处理无效的地方: 1.3.1:limit语句 1.3.2:like%?%.不能这么使用,占位符必须代表整个字符。所以可以这