PHP将SQL模板和变量分两次发送给MySQL,由MySQL完成变量的转义处理. 既然SQL模板和变量是分两次发送的,那么就不存在SQL注入的问题了. 在MySQL的general_log里可以看到
参考地址: 参数化查询为什么可以避免sql注入呢?