mysql之pdo预处理与sql防注入

PDOStatement::bindValue —
把一个值绑定到一个参数

绑定一个值到用作预处理的 SQL 语句中的对应命名占位符或问号占位符。

PDOStatement::bindParam —
绑定一个参数到指定的变量名

绑定一个PHP变量到用作预处理的SQL语句中的对应命名占位符或问号占位符。 不同于 PDOStatement::bindValue() ，此变量作为引用被绑定，并只在 PDOStatement::execute() 被调用的时候才取其值。

pdo预处理演示