mysql_real_escape_string() 函數轉義 SQL 語句中使用的字符串中的特殊字符。
下列字符受影響: \x00
如果成功,則該函數返回被轉義的字符串。如果失敗,則返回 false。
mysql_real_escape_string 優於addslashes。因爲 mysql_real_escape_string考慮到字符集的問題因此可以安全用於 mysql_query()。另外需要注意的是mysql_real_escape_string()不能轉義%及_
在有些時候需要將mysql_real_escape_string與mysql_set_charset一起使用。
下面是我找到的一位大蝦的關於mysql_real_escape_string()函數的認識,稍微做了一點改動,希望記下來和大家一起分享:
{
防止SQL Injection***,也就是你必須驗證用戶的輸入
操作數據的時候避免不必要的字符導致錯誤
數據庫***。本例演示如果我們不對用戶名和密碼應用 mysql_real_escape_string() 函數會發生什麼:
<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);
// 不檢查用戶名和密碼// 可以是用戶輸入的任何內容,比如:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";
// 一些代碼...
mysql_close($con);
?>那麼 SQL 查詢會成爲這樣:
SELECT * FROM users WHERE user='john' AND password='' OR ''=''
這意味着任何用戶無需輸入合法的密碼即可登陸。
預防數據庫***的正確做法:
<?php
function check_input($value)
{
// 去除斜槓
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// 如果不是數字則加引號
if (!is_numeric($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
// 進行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>