因为（除其他原因外）要确保输入数据得到净化要困难得多。如果您使用参数化查询，就像使用PDO或mysqli一样，您可以完全避免风险。

例如，有人可以使用“enhzflep）；drop table users”作为用户名。旧的函数将允许每个查询执行多个语句，所以像这种讨厌的bug可以删除整个表。

如果要使用mysqli的PDO，用户名将以“enhzflep）；drop table user”结尾。

参见bobby-tables.com。

MySQL扩展是三个扩展中最古老的，也是开发人员用来与MySQL通信的原始方式。由于PHP和MySQL的更新版本都有改进，因此现在不推荐使用此扩展，而支持其他两种替代方案。

MySQLi是用于处理MySQL数据库的“改进”扩展。它利用了MySQL服务器较新版本中可用的功能，向开发人员公开了面向功能和面向对象的界面，并做了一些其他漂亮的事情。PDO提供了一个API，它整合了以前分布在主要数据库访问扩展（即MySQL、PostgreSQL、SQLite、MSSQL等）中的大部分功能。该接口为程序员提供高级对象，以处理数据库连接、查询和结果集，低级驱动程序与数据库服务器进行通信和资源处理。PDO正在进行大量的讨论和工作，它被认为是使用现代专业代码处理数据库的适当方法。

不要使用mysql，因为不推荐使用Mysqli。

弃用的含义：

这意味着不要使用某些特定的功能/方法/软件功能/特定的软件实践，这只是意味着不应该使用它，因为该软件中有（或将有）更好的替代方案，而应该使用它。

使用不推荐使用的函数时可能会出现以下几个常见问题：

1.功能完全停止工作：应用程序或脚本可能依赖于不再支持的功能，因此使用其改进版本或替代版本。

2.显示有关弃用的警告消息：这些消息通常不会干扰站点功能。然而，在某些情况下，它们可能会中断服务器发送标头的过程。

例如：这可能会导致登录问题（cookie/会话设置不正确）或转发问题（301/302/303重定向）。

请记住：

-弃用的软件仍然是软件的一部分。

-弃用的代码只是代码的状态（标签）。

MYSQL与MYSQLI的主要区别mysql数据库*

旧数据库驱动程序MySQL只能按程序使用没有针对SQL注入攻击的保护在PHP 5.5.0中被弃用，在PHP 7中被删除

mysqli数据库

新数据库驱动程序当前正在使用准备好的语句可防止攻击

mysql_函数：

已过时-不再维护不允许您轻松移动到另一个数据库后端不支持准备好的语句，因此鼓励程序员使用串联来构建查询，从而导致SQL注入漏洞

原因有很多，但可能最重要的一点是，这些函数鼓励不安全的编程实践，因为它们不支持准备好的语句。准备好的语句有助于防止SQL注入攻击。

当使用mysql_*函数时，您必须记住通过mysql_real_aescape_string（）运行用户提供的参数。如果你只在一个地方忘记了，或者你碰巧只漏掉了部分输入，你的数据库可能会受到攻击。

在PDO或mysqli中使用已准备好的语句将使其更难产生此类编程错误。

如果您确定不想升级php版本，则无需更新，但同时您也不会获得安全更新，这将使您的网站更容易受到黑客攻击，这是主要原因。