作为一款新生的程序,PESCMS没有历史的包袱。因此PESCMS在数据库链接方式中选用PHP官方未来唯一指定的PDO驱动。详情可以参考PHP官网:http://php.net/manual/zh/intro.pdo.php
再优秀,更安全的防护措施永远抵不过猪一样的队友。尽管PDO的出现,让广大PHPer结束多年来的SQL拼接写法。就目前的行业情景,仍旧有不少公司的PHP程序运行着古老的写法。除开上述的时代背景,换作今天国内还有一大批新生的PHPer甚少了解PDO。
PDO让程序安全主要依赖预处理上,因此在编写SQL语句时,若需要与外部数据对接请务必使用预处理进行过滤,彻底堵上注入的可能性。