mysql - PHP如果不使用PDO，在建構SQL語句的時候，如何杜絕注入?

Question

PHP如果不使用PDO，在建構SQL語句的時候，如何杜絕注入? sprint 格式化字串能杜絕嗎？

我想大声告诉你 · Answer

不能。
一定要轉義特殊字元如引號、反引號。
一定要注意資料庫的編碼。
一定要過濾語句中的特殊編碼。
pdo使用了資料庫的參數綁定，所以避免了注入。