execute() 傳參或?bindValue() 是綁定常量到參數；bindParam() 是綁定變量到參數。

相比之下，綁定變量更加靈活。

講的很清楚了，有2種防止注入的方式，一種是通過QUOTE（）函數去設置攔截，這種方式是通過QUERY本身的sql語句產生的對象，來調用這個函數進行某一個比如用戶名的攔截，第二種是通過預處理語句，prepare準備SQL語句進行調用，調用的本身采用字符串過濾，所以等于直接防止了SQL注入，第一種=自行車，第二種=寶馬，實際開發(fā)都是看情況的，大項目=大街，小項目=小巷，寶馬開不進小巷，自行車走大街顯得寒磣