Các câu lệnh PDO (PHP Data Objects) cung cấp một cách để thực hiện các truy vấn SQL một cách an toàn và giúp ngăn chặn các cuộc tấn công SQL injection khi được sử dụng đúng cách. Điều này chủ yếu được thực hiện thông qua việc sử dụng các prepared statements, nơi bạn tạo ra một truy vấn SQL với các placeholder cho các giá trị, sau đó liên kết các giá trị thực tế với các placeholder này trước khi truy vấn được thực thi trên cơ sở dữ liệu
Khi sử dụng prepared statements, các giá trị được truyền vào truy vấn thông qua các phương thức như bindParam() hoặc bindValue(), hoặc trực tiếp thông qua mảng trong phương thức execute(). Điều này đảm bảo rằng các giá trị được xử lý một cách an toàn và không thể được giải thích là một phần của mã SQL, ngăn chặn việc các lệnh SQL độc hại được chèn vào
