所以这个 header 跟 sql injection 的关联就确定了吧只要有机会被玩填字游戏就算是漏洞, 邪恶者总是有办法出奇不意的塞东西, 特殊条件下 (字集) 也是有机会躲过preg_replace 之类的土制筛选手法.. 所以最理想还是交给 pdo 去处理.. (当然 prepar statement 下错依然..夜半脑子不清楚更正一下.. 字集的漏洞是针对 pdo 的,regexp 的则是另有一堆, 像是这篇里的 [0x01]
https://www.exploit-db.com/papers/17934