PHP PDO 防止SQL注入

使用PDO的好处：
1> 防止SQL注入
2> 提高执行效率 每条SQL执行前，MYSQL数据库都需要先进行编译（即便是一个空格也可能引起重新编译）。在循环执行多条数据时，使用prepare方式传入不同参数可以减少编译时间

大部分常见数据库都支持prepare语句，即便数据库不支持，pdo也会采用模拟的方式来实现，简单来说就是pdo自己对数据做quote，然后把结果拼接成sql再执行，但是这样就不能防止SQL注入了。

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);   使用prepare方式访问数据库，如果false表示使用模拟方式（不使用prepare)

prepare方式预制语句基于三个SQL语句：
    PREPARE stmt_name FROM preparable_stmt;
    EXECUTE stmt_name [USING @var_name [, @var_name] ...];
    {DEALLOCATE | DROP} PREPARE stmt_name;

PREPARE语句用于预备一个语句，并赋予它名称stmt_name，借此在以后引用该语句。语句名称对案例不敏感。preparable_stmt可以是一个文字字符串，也可以是一个包含了语句文本的用户变量。该文本必须展现一个单一的SQL语句，而不是多个语句。使用本语句，‘?'字符可以被用于制作参数，以指示当您执行查询时，数据值在哪里与查询结合在一起。‘?'字符不应加引号，即使您想要把它们与字符串值结合在一起，也不要加引号。参数制作符只能被用于数据值应该出现的地方，不用于SQL关键词和标识符等。
如果带有此名称的预制语句已经存在，则在新的语言被预备以前，它会被隐含地解除分配。这意味着，如果新语句包含一个错误并且不能被预备，则会返回一个错误，并且不存在带有给定名称语句。
预制语句的范围是客户端会话。在此会话内，语句被创建。其它客户端看不到它。
在预备了一个语句后，您可使用一个EXECUTE语句（该语句引用了预制语句名称）来执行它。如果预制语句包含任何参数制造符，则您必须提供一个列举了用户变量（其中包含要与参数结合的值）的USING子句。参数值只能有用户变量提供，USING子句必须准确地指明用户变量。用户变量的数目与语句中的参数制造符的数量一样多。
您可以多次执行一个给定的预制语句，在每次执行前，把不同的变量传递给它，或把变量设置为不同的值。
要对一个预制语句解除分配，需使用DEALLOCATE PREPARE语句。尝试在解除分配后执行一个预制语句会导致错误。
如果您终止了一个客户端会话，同时没有对以前已预制的语句解除分配，则服务器会自动解除分配。
以下SQL语句可以被用在预制语句中：CREATE TABLE, DELETE, DO, INSERT, REPLACE, SELECT, SET, UPDATE和多数的SHOW语句。目前不支持其它语句。

预制语句的SQL语法不能被用于带嵌套的风格中。也就是说，被传递给PREPARE的语句本身不能是一个PREPARE, EXECUTE或DEALLOCATE PREPARE语句。例如，您不能使用mysql_stmt_prepare() C API函数来预备一个PREPARE, EXECUTE或DEALLOCATE PREPARE语句。

防止SQL注入可参考下文：

PDO防注入原理分析以及使用PDO的注意事项