為啥PDO可以有效防止注入？

一直知道他可以防止注入，今天在網上也看到了一些文章還是沒搞明白，即使是他分兩次發送的，那攻擊著也照樣可以在參數上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

回複內容：

一直知道他可以防止注入，今天在網上也看到了一些文章還是沒搞明白，即使是他分兩次發送的，那攻擊著也照樣可以在參數上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

這背後是MySQL的預先處理實現的，PDO發送給MySQL的並不是“拼接”後的SQL語句

舉個例子

PREPARE mystatement FROM "SELECT * FROM topic WHERE id = ? or id = ?";set @a = 1;set @b = 2;EXECUTE mystatement USING @a, @b;DEALLOCATE PREPARE mystatement;

其實關鍵的一點就是語句和資料通過這個方式實現了分離，例子中的@a, @b的內容怎麼變，SQL的文法解析都不會把它們解析成語句的一部分

文檔在此 http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html

