我有这个问题来清除事情。我阅读了一些文档和评论,但仍有些不够清楚。PDO与MYSQLI,PrepaStatemens和绑定参数
- 据我所知,PDO提供了更多的驱动程序,如果您改变数据库类型,肯定会带来更多的驱动程序。
- 作为另一个帖子说,PDO犯规提供真正准备好的声明,但mysqli的不那么这将是安全使用mysqli的
- 基准长相相似,(没有测试它自己,但检查各地在网络上几个基准)
- 由于mysqli正在迎头赶上,所以面向对象并不是我的问题。但是,将过程mysqli与PDO进行基准比较会更好,因为程序应该稍微快一点。
但是,这里是我的问题,与准备好的声明,我们必须使用参数绑定与我们在声明中使用的数据?好的做法还是必须的?如果您多次运行相同的查询,但是它足以确保查询本身,我知道准备好的语句具有良好的性能 - 明智吗?或绑定参数是必须的?绑定参数到底是如何工作的以及如何保护sql注入的数据?如果您对我上面的陈述有任何误解,我们也将不胜感激。
感谢
[您是否应该使用准备好的语句进行转义?](http://stackoverflow.com/a/16365669/285587) –
什么是PDO不支持本地预处理语句?它必须被删除或至少downvoted –
http://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection,Quote =>“要实现这里重要的事情默认情况下,PDO不会执行准备好的语句,而是模拟它们(对于MySQL)。“,可能会误解我的意思...... – Leon