一、问题描述：

　　如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句，那么应用将很可能遭受到SQL注入攻击，正如下面的例子：

$unsafe_variable = $_POST['user_input']; 
  
 mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

我们都知道，只要合理正确使用PDO,可以基本上防止SQL注入的产生，本文主要回答以下两个问题：

为什么要使用PDO而不是mysql_connect？
为何PDO能防注入？
使用PDO防注入的时候应该特别注意什么?
 
一、为何要优先使用PDO?

PHP手册上说得很清楚：
Prepared statements and stored procedures<b