我知道这个问题可能会被你们中的一些人关闭，但我的问题来自于你们和你们的回答。我正在阅读过去两个小时有关SQL注入(inject)以及如何保护数据库的问题和答案。我看到的大量网页和教程也是如此。我发现一半的人声称prepare语句确实可以保护您的数据库，而另外50人则声称不是。另一方面，我读到mysql_real_escape_string可以完成这项工作，而其他人则说它不是。我的问题是该相信谁？此外，这是一个合适的准备语句吗？$stmt=$dbh->prepare("SELECTphpro_user_id,phpro_username,phpro_passwordFROMphpro_u