为什么要使用PDO合理使用PDO可以从根本上防止sql注入一些参数配置PDO::MYSQL_ATTR_INIT_COMMAND参数的意思是在查询sql之前发送初始化命令:setnamesutf8mb4PDO::ATTR_EMULATE_PREPARES表示是否使用本地模拟prepare,不使用本地模拟,所以设置为false最佳实践:设置ATTR_EMULATE_PREPARES为false设置PDO::MYSQL_ATTR_INIT_COMMAND为true,pdo默认会使用setnamesutf8设置编码使用更高版本ofphp(php7+)使用更高版本Mysql使用合理的编码,弃用GBK编码,防止宽字符注入
