这个问题在这里已经有答案了：

如何防止php中的sql注入(28个答案）
sql注入，绕过mysql\u real\u escape\u string（）（4个答案）
两年前关门了。
所以我在phpmyadmin for mysql上有一个utf8mb4数据库，我在php中使用pdo与我的数据库进行交互，我真的很想知道，只是为了100%确定‘bindvalue’函数真的会转义数据，我听说sql查询和数据的发送方式不同，但我想知道这是不是真的，有没有任何方法可以绕过“bindvalue”而进行sql注入？
示例代码：

$db = new PDO(...);

//Notice how I'm not sanitizing $_GET, is this okay?
$query = $db->prepare("SELECT * FROM table WHERE Username = :username");
$query->bindValue(":username", $_GET["username"]);
$query->execute();
echo "Rows: " . $query->rowCount();

while($row = ...) {
    echo $row["Username"];
}