mysql_real_escape_string() 函數轉義 SQL 語句中使用的字符串中的特殊字符。
下列字符受影響: \x00
如果成功,則該函數返回被轉義的字符串。如果失敗,則返回 false。
mysql_real_escape_string 優於addslashes。因爲 mysql_real_escape_string考慮到字符集的問題因此可以安全用於 mysql_query()。另外需要注意的是mysql_real_escape_string()不能轉義%及_
在有些時候需要將mysql_real_escape_string與mysql_set_charset一起使用。
下面是我找到的一位大蝦的關於mysql_real_escape_string()函數的認識,稍微做了一點改動,希望記下來和大家一起分享:
{
防止SQL Injection***,也就是你必須驗證用戶的輸入
操作數據的時候避免不必要的字符導致錯誤
數據庫***。本例演示如果我們不對用戶名和密碼應用 mysql_real_escape_string() 函數會發生什麼:
<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);
// 不檢查用戶名和密碼// 可以是用戶輸入的任何內容,比如:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";
// 一些代碼...
mysql_close($con);
?>
那麼 SQL 查詢會成爲這樣:
SELECT * FROM users WHERE user='john' AND password='' OR ''=''
這意味着任何用戶無需輸入合法的密碼即可登陸。
預防數據庫***的正確做法:
<?php function check_input($value) { // 去除斜槓 if (get_magic_quotes_gpc()) { $value =stripslashes($value)
; } // 如果不是數字則加引號 if (!is_numeric($value)) { $value = "'" .mysql_real_escape_string($value)
. "'"; } return $value; } $con = mysql_connect("localhost", "hello", "321"); if (!$con) { die('Could not connect: ' . mysql_error()); } // 進行安全的 SQL $user = check_input($_POST['user']); $pwd = check_input($_POST['pwd']); $sql = "SELECT * FROM users WHERE user=$user AND password=$pwd"; mysql_query($sql); mysql_close($con); ?>