在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数运行，因此就算参数中含有具破坏性的指令，也不会被数据库所运行。

PDO对预处理语句的支持需要使用PDOStatement类对象，但该类对象并不是通过NEW关键字实例化出来的，而是通过PDO对象中的prepare()方法，在数据库服务器中准备好一个预处理的SQL语句后直接返回的。如果通过之前执行PDO对象中的query()方法返回的PDOStatement类对象，只代表的是一个结果集对象。而如果通过执行PDO对象中的prepare()方法产生的PDOStatement类对象，则为一个查询对象，能定义和执行参数化的SQL命令。PDOStatement类中的全部成

方法 bindParam() 和 bindValue() 非常相似。 唯一的区别就是前者使用一个PHP变量绑定参数，而后者使用一个值。 所以使用bindParam是第二个参数只能用变量名，而不能用变量值，而bindValue至可以使用具体值。 复制代码 代码如下: $stm = $pdo->prepare(“select * from users where user = :user”); $user = “jack”; //正确 $stm->bindParam(“:user”,$u