假设我们有以下代码(用于某种搜索或类似):$stmt = $pdo->prepare("SELECT * FROM users WHERE username LIKE ?"); $stmt->execute(array('%' . $username . '%'));提供的用户名被正确转义,但字符%(= 0或更多任意字符)和_(=正好1个任意字符)被MySQL解释为通配符. 我知道用户可以输入%或_进行搜索,如果我希望搜索功能正常工作,我应该将其转义. (在set_pt和结果中获取setopt的情况下). 但我的问题是:有人可以利用这个吗?如果是的...