pdo用好了是不是就基本不用自己在写输入过滤了吧?
’这是两回事。
pdo本身也会有一些‘漏洞’(未必叫漏洞,只能说pdo没完善)
至于你写不写输入验证与pdo压根无关,没人能保证过滤全部可疑字符。
毕竟sql注入可不仅仅是简单的几个英文几个汉字,还可以经过base64注入,其他编码注入。
用pdo的原因不是因为他能过滤需转义字符
PDO bindParam 或 mysqli_stmt_bind_param: 避免SQL注入.
addslashes: 用反斜杠转义所有的单引号,双引号,反斜杠和NUL's,一定程度上避免SQL注入.
mysqli_real_escape_string: 转义SQL语句中的特殊字符.
有了bind_param,就不需要使用addslashes,mysqli_real_escape_string,magic_quotes_gpc这些功能了.