Trên PDO::Prepare page nó khẳng định,Các câu lệnh chuẩn bị PHP PDO có cần phải được thoát không?
"và giúp ngăn ngừa các cuộc tấn công SQL injection bằng cách loại bỏ sự cần thiết phải tự trích dẫn các thông số"
Biết được điều này, là có một chức năng PHP như mysql_real_escape_string() mà sẽ chăm sóc thoát stings cho PDO? Hay PDO có chăm sóc tất cả thoát cho tôi không?
EDIT
Tôi nhận ra bây giờ mà tôi hỏi những câu hỏi sai. Câu hỏi của tôi thực sự là, "PDO làm gì cho tôi?" Mà tôi nhận ra bây giờ với những câu trả lời rằng nó thực sự chỉ loại bỏ sự cần thiết phải thoát khỏi dấu ngoặc kép. Nhưng tôi vẫn sẽ cần phải làm bất kỳ PHP khác khử trùng cuộc gọi trên các giá trị mà tôi vượt qua để thực hiện chức năng. Chẳng hạn như htmlentities(), strip_tags() ... etc ...
Không có chức năng "khử trùng" phổ biến trên thế giới. Nó giống như cuộc sống thực: rửa tay, sử dụng bao cao su và giữ tiền trong lồng ngực an toàn là tất cả cho an toàn. Nhưng nó không có nghĩa là táo của bạn, được rửa sạch và bọc trong bao cao su và đưa vào ngực an toàn, được coi là an toàn. Mỗi chức năng vệ sinh là vì mục đích riêng của nó. Không yêu cầu an toàn HTML từ chức năng cơ sở dữ liệu. Nó woul là lạ. –
@Col. Shrapnel +1 Nice ví dụ lol ..... – Metropolis