优先使用 PDO 或 MySQLi(面向对象),避免已废弃的 mysql_* 函数 。始终使用预处理语句防止 SQL 注入:
// PDO 示例
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute(['张三', 'zhangsan@example.com']);
// MySQLi 示例
$stmt = $mysqli->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $email); // "s"=string, "i"=int
$stmt->execute();
⚠️ 即使是 INSERT 也必须预处理,攻击者可通过构造恶意输入篡改语义