PDO_Mysql的出现，可以让你从sql注入的斗争中抽身而去，你只需要记住，创建一个pdo_mysql链接实例的时候，设置合适的charset，就再也不必为sql注入揪心了。非常重要的就是字符集的设定一定要正确，否则还是有一些特殊字符能被构造用于sql注入。
mysql:host=localhost;dbname=testdb;charset=utf8
执行sql语句之前prepare