本文共 1437 字，大约阅读时间需要 4 分钟。

mysql_real_escape_string() 函数：定义、用法与注意事项

定义与作用

mysql_real_escape_string() 是一个用于对字符串中的特殊字符进行转义的函数。其主要目的是在 SQL 语句中安全使用字符串，防止SQL注入攻击。通过对字符串中的特殊字符进行转义，可以避免这些字符被误解为 SQL 语句的操作符或命令。

特殊字符转义

以下字符会受到影响：

• \x00 (空字节)
• \n (换行符)
• \r (回车符)
• \ (反斜杠)
• ' (单引号)
• " (双引号)
• \x1a (SI控制字符)

功能特点

语法

函数的基本语法如下：

mysql_real_escape_string(string, connection);

参数说明

• string：必需参数，规定要转义的字符串。
• connection：可选参数，规定要使用的 MySQL 连接。如果未指定，则使用上一次建立的连接。

使用示例

示例 1：用户注册验证

$user = mysql_real_escape_string($_POST['username']);$pwd = mysql_real_escape_string($_POST['password']);$sql = "SELECT * FROM users WHERE username='$user' AND password='$pwd'";

示例 2：防止SQL注入攻击

$unsafe = $_POST['input'];$escaped = mysql_real_escape_string($unsafe);$sql = "SELECT id FROM users WHERE username = '$escaped'";

注意事项

与其他函数的区别

• addslashes()：简单地对字符串中的单引号、双引号和反斜杠进行转义。然而，它无法有效处理多字节字符中的特殊字符，容易被 SQL 注入攻击者利用。

• mysql_escape_string()：与 mysql_real_escape_string() 类似，但不考虑字符集的转义。因此，建议优先使用 mysql_real_escape_string()。

总结

在开发过程中，mysql_real_escape_string() 是防止 SQL 注入攻击的重要工具之一。通过对用户输入进行转义，可以有效降低数据库操作的风险。然而，仅依赖转义函数并不足够，建议结合输入验证和正确使用防注入技术（如使用 PDO 的预准备语句）来增强安全性。