我一直在做的简单连接mysql_connect，mysql_pconnect：

$db = mysql_pconnect('*host*', '*user*', '*pass*');

if (!$db) {
    echo("<strong>Error:</strong> Could not connect to the database!");
    exit;
}

mysql_select_db('*database*');

虽然使用这个我一直使用的简单的方法，使查询之前逃脱的任何数据，不管是INSERT，SELECT，UPDATE或者DELETE通过使用mysql_real_escape_string

$name = $_POST['name'];

$name = mysql_real_escape_string($name);

$sql = mysql_query("SELECT * FROM `users` WHERE (`name` = '$name')") or die(mysql_error());

现在我知道这在一定程度上是安全的！

它逃脱了危险人物；但是，它仍然容易受到其他攻击的攻击，这些攻击可能包含安全字符，但可能有害于显示数据或在某些情况下恶意修改或删除数据。

因此，我进行了一些搜索，以了解有关PDO，MySQLi和准备好的语句的信息。是的，我可能迟到了游戏，但是我读了很多很多教程（tizag，W3C，博客，Google搜索），但没有一个提到这些。关于原因，这似乎很奇怪，因为逃避用户输入确实是不安全的，至少可以说不是一种好习惯。是的，我知道您可以使用Regex来解决它，但是，我很确定那还不够吗？

据我了解，当变量由用户输入指定时，使用PDO
/预处理语句是从数据库存储和检索数据的更安全的方法。唯一的麻烦是，切换（特别是在以我以前的编码方式/习惯非常困住之后）有点困难。

现在我知道使用PDO连接到数据库

$hostname = '*host*';
$username = '*user*';
$password = '*pass*';
$database = '*database*'

$dbh = new PDO("mysql:host=$hostname;dbname=$database", $username, $password);

if ($dbh) {
    echo 'Connected to database';
} else {
    echo 'Could not connect to database';
}

现在，函数名是不同的，因此将不再我mysql_query，mysql_fetch_array，mysql_num_rows等工作。因此，我必须阅读/记住大量新内容，但这是我感到困惑的地方。

如果我想从注册/注册表格中插入数据，我将如何去做，但主要是如何安全地去做呢？我假设这是准备好的语句出现的地方，但是通过使用它们，这消除了使用诸如之类的东西的需要mysql_real_escape_string。我知道这mysql_real_escape_string要求您通过mysql_connect/
连接到数据库，mysql_pconnect所以现在我们既不使用它，也不会产生错误吗？

我也看到了采用PDO方法的不同方法，例如，我已经看到了，:variable并且?我认为这被称为占位符（抱歉，如果那是错误的话）。

但是我认为这大致是应该从数据库中获取用户的想法。

$user_id = $_GET['id']; // For example from a URL query string

$stmt = $dbh->prepare("SELECT * FROM `users` WHERE `id` = :user_id");

$stmt->bindParam(':user_id', $user_id, PDO::PARAM_INT);

但是，接下来我会停留在一些事情上，如果变量不是数字，而是文本字符串，那么PDO:PARAM_STR如果我没有记错的话，必须给定一个长度。但是，如果不确定用户输入的数据所给出的值，则该长度如何设置呢？无论哪种方式，据我所知显示您随后要做的数据

$stmt->execute();

$result = $stmt->fetchAll();

// Either

foreach($result as $row) {
    echo $row['user_id'].'<br />';
    echo $row['user_name'].'<br />';
    echo $row['user_email'];
}

// Or

foreach($result as $row) {
    $user_id = $row['user_id'];
    $user_name = $row['user_name'];
    $user_email = $row['user_email'];
}

echo("".$user_id."<br />".$user_name."<br />".$user_email."");

现在，这一切安全吗？

如果我是对的，则插入数据是否会相同，例如：

 $username = $_POST['username'];
 $email = $_POST['email'];

 $stmt = $dbh->prepare("INSERT INTO `users` (username, email)
                        VALUES (:username, :email)");

 $stmt->bindParam(':username, $username, PDO::PARAM_STR, ?_LENGTH_?);
 $stmt->bindParam(':email, $email, PDO::PARAM_STR, ?_LENGTH_?);

$stmt->execute();

那行得通吗，那也安全吗？如果是正确的话，我会为值多少钱?_LENGTH_?？我把这完全弄错了吗？

更新

到目前为止，我的回复非常有帮助，不能谢谢你们！每个人都可以通过+1使我睁开眼睛，看到有些不同。选择最佳答案很困难，但我认为Shrapnel上校应有尽有，因为几乎所有内容都已覆盖，甚至使用我不知道的自定义库进入其他阵列！

但是感谢大家：）