摘要： 在传统的写法中，sql查询语句在程序中拼接，防注入(加斜杠)是在php中处理的，然后就发语句发送到mysql中，mysql其实没有太好的办法对传进来的语句判断哪些是正常的，哪些是恶意的，所以直接查询的方法都有被注入的风险。在mysql5.1后，提供了类似于jdbc的预处理-参数化查询。它的查询方法是 阅读全文