虽然这样能更好的保护数据库字段不被暴露,但这样做中间需要一次的转换,大家都知道取名是一件挺难的事,这样也会增加代码出错的几率,不知各位是如何取舍的?
ORM啊 直接写sql多累
不用的,php 官网推荐使用PDO模块,prepare sql, 然后 bind 数据类型,就很安全了。文档链接: http://php.net/manual/en/book...
没必要,只要参数化,加上关键字过滤,你来什么都可以。