摘要： 使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时，如果过滤不严紧，就有SQL注入风险。虽然可以用mysql_real_escape_string()函数过滤用户提交的值，但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法，就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新加入的一个重大功能，因为在PHP 5以前的php4/php3都是一堆的数据库扩展来跟各个数据库的连接和处理，如 php_mysql.dll。 PHP6中也将默认使用PDO的方式连接，mysql扩展将被作为辅助 。官方地址：http 阅读全文