这个问题已经在这里有了答案：            >            Are PDO prepared statements sufficient to prevent SQL injection?                                    7个

$string = trim($_POST['string'])
$sql = "INSERT INTO table (string) VALUES(:string)";
$query = $db->prepare($sql);
$query->execute(array(
    ":string" => $string
));

此代码块可以阻止sql注入吗？

编辑：
这是我与数据库的连接.此代码的字符集是否允许执行以上代码块并防止sql注入？

//database credentials
define('DBHOST','localhost');
define('DBUSER','root');
define('DBPASS','');
define('dbnAME','table');

//application address
define('DIR','http://localhost/');
define('SITEEMAIL','noreply@example.com');

try {

//create PDO connection 
$db = new PDO("MysqL:host=".DBHOST.";port=3306;dbname=".dbnAME, DBUSER, DBPASS);
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

} catch(PDOException $e) {
//show error
echo 'Looks like server is down please check back later';
exit;
}

解决方法:

是的,它将阻止sql注入,因为

预备语句使用绑定参数.

预处理语句不会将变量与sql字符串组合在一起,因此攻击者无法修改sql语句.

预处理语句将变量与已编译的sql语句结合在一起,这意味着sql和变量是分开发送的,并且变量仅被解释为字符串,而不是sql语句的一部分.