PHP 中 SQL 语句单引号和双引号的区别及安全建议

在 PHP 中，单引号和双引号有不同的用法。双引号可以解析变量，而单引号不会解析变量。因此，当你使用单引号包含一个包含变量的字符串时，变量不会被解析，而会被当作字符串的一部分进行处理。

例如，在代码 'INSERT INTO user (id,user) values (null,$s)' 中，单引号会将 'INSERT INTO user (id,user) values (null,$s)' 整个字符串当作一个值，而不会将 $s 解析为变量。

而代码 'INSERT INTO user (id,user) values (null,$s)' 中，双引号会将 $s 解析为变量的值，并将其插入到 SQL 语句中。

为了避免 SQL 注入等安全问题，建议使用参数化查询或绑定变量的方式来执行 SQL 语句，而不是直接将变量插入到 SQL 语句中。

参数化查询可以让数据库引擎处理变量的解析，而不会将变量直接暴露给 SQL 语句，从而防止 SQL 注入攻击。