为什么使用PDO合理使用PDO可以根本上杜绝sql注入一些参数配置PDO::MYSQL_ATTR_INIT_COMMAND参数的意义是在查询sql之前,先发送初始化命令:set names utf8mb4PDO::ATTR_EMULATE_PREPARES 表示是否使用本地模拟prepare,不要使用本地模拟,所以设置为false最佳实践:设置ATTR_EMULATE_PREPARES为false设置PDO::MYSQL_ATTR_INIT_COMMAND为true,pdo会默认使用set names utf8设置编码使用高版本的php(php7+)使用高版本的mysql使用合理的编码,弃用GBK编码,防止宽字符注入