在PDO语句中转义列名

问题内容： 在PDO :: Prepare页上指出： “并且通过消除对参数的手动引用来帮助防止SQL注入攻击” 知道这一点，是否有一个像mysql_real_escape_string（）这样的PHP函数可以照顾到PDO的转义？还是PDO会为我做好一切转义？ 编辑 我现在意识到我问了一个错误的问题。我的问题确实是，“ PDO会为我做什么？” 我现在通过这些答案意识到，它实际上仅消除了对引号进行转义

问题内容： 这个问题已经在这里有了答案 ： 我可以使用PDO准备好的语句来绑定标识符（表或字段名）或语法关键字吗？ （1个答案） 去年关闭。 是否可以在准备好的MySQL语句中将列名作为参数传递？请看以下示例： PDO 在每个参数周围添加，因此上面的中线变为： 哪个MySQL不喜欢。有没有一种方法可以在PDO语句中包含字段名的参数，并接受它们？ 否则，我猜我将不得不编写一些不同的PDO语句，具体取

问题内容： 今天有人告诉我，我确实应该在应用程序中使用PDO和准备好的语句。在我了解好处的同时，我也在努力了解如何将其实现到我的工作流程中。除了它使代码更简洁外，我是否应该有一个特定的数据库类来容纳所有准备好的语句，还是应该在每次运行查询时都创建一个？我发现很难理解何时应使用标准PDO查询以及何时应使用准备好的语句。任何示例，技巧或教程链接将不胜感激。 问题答案： pdo :: prepare（）

我当前有一个Get变量 我正尝试将其添加到sql语句中，如下所示： 然后运行 我得到一个无效的列名。但这是没有意义的，因为如果我手动将请求这样放入 我获取列数据，只是当我将其作为get变量输入时没有。我做错了什么。我对PDO比较陌生。 更新：现在我有以下内容： 而且 但我得到了

问题内容： 如何在node-mysql中转义MySQL LIKE语句？ 遵循以下原则 结果是 这是语法错误。如果我使用的替代语法 导致类似的语法错误。我也尝试过 最终只是转义了’％’符号。 问题答案： 不知道为什么在上一个示例中转义了它，因为这对我来说很好： 当我在驱动程序中打开调试功能（作为参数传递给）时，它无法逃脱百分号： （它 确实 转义了单引号，但这仅用于显示目的） （使用）

问题内容： 有没有办法将这些bindParam语句放入一个语句中？ 我使用mysqli在可能的地方准备好了，我切换到PDO以获得assoc_array支持。在PDO的php.net网站上，它们以单独的行显示，在所有示例中，我都看到它以单独的行显示。 可能吗？ 问题答案： 页面上的示例2 是您想要的： 您可能也想看看其他示例。使用问号参数，将为： 如果只有这些列，则可以编写：