使用PHP的PDO_Mysql扩展有效避免sql注入

首先，什么是sql注入？ 用大白话说就是：当一个人在访问你的应用时，需要输入，他的输入是一些特殊的字符，你没有对输入进行过滤处理导致他的输入改变了你的sql语句的功能，实现他自己的目的，通过这种方式他可能能拿到很多权限，从而实施自己的攻击 以上的描述是很不严谨的，如果想深入了解sql注入，访问下面的链接：

http://www.php.net/manual/zh/security.database.sql-injection.php

本文的目的其实不是让大家知道什么是sql注入，而是希望大家从此可以忘掉sql注入。 在实践中，肯定有很多经验被总结出来，避免sql注入，在以前的mysql和mysqli扩展中，我们都需要手动去处理用户输入数据，来避免sql注入，这个时候你必须要非常了解sql注入，只有了解，才能针对具体的注入方式采取有效措施

PDO_Mysql的出现，可以让你从sql注入的斗争中抽身而去，你只需要记住，创建一个pdo_mysql链接实例的时候，设置合适的charset，就再也不必为sql注入揪心了。非常重要的就是字符集的设定一定要正确，否则还是有一些特殊字符能被构造用于sql注入。

mysql:host=localhost;dbname=testdb;charset=utf8

执行sql语句之前prepare

恩，貌似就是这么简单，我们就告别了sql注入，感觉有点虚幻。