参数绑定就是绑定一个PHP变量到用作预处理的SQL语句中的对应命名占位符或问号占位符。可以有效的防止SQL注入。
注:要求无论何时尽量使用参数绑定的形式来构建SQL语句
在系统中直接运行SQL语句操作数据库的函数(pdo_fetch()、pdo_fetchall()、pdo_fetchcolumn()、pdo_query())需要开发人员手动绑定参数,以 pdo_fetch() 函数为例:
$row = pdo_fetch("SELECT * FROM ".tablename('users')." WHERE username = :username", array(':username' => '米粥'));
-
上例中 :username 参数占位符,系统中只支持 <