PHP PDO 预准备的语句是否需要转义?
在 PDO::P repare 页面上,它指出,
“并通过消除手动引用参数的需要来帮助防止SQL注入攻击”
知道了这一点,有没有像mysql_real_escape_string()这样的PHP函数来处理PDO的蜇伤?还是PDO为我照顾了所有逃跑的人?
编辑
我现在意识到我问错了问题。我的问题是,“PDO为我照顾了什么?我现在意识到,有了这些答案,它实际上只是消除了转义引号的需要。但是我仍然需要对我传递给执行函数的值执行任何其他PHP清理调用。如 htmlentities(),strip_tags()...等。。。