mysqli 真正的转义字符串 PHP

当你从用户或其他来源接收数据时，需要非常小心以避免 SQL 注入攻击。事实上，SQL 注入攻击是最普遍的攻击类型之一，它们是通过将 SQL 语句嵌入到输入数据中来实现的。为了避免这种情况，你必须确保输入数据中的任何特殊字符都已被正确转义。

在 PHP 中，mysqli_real_escape_string() 函数提供了一种简便的方法来转义特殊字符。这个函数会将任何特殊字符转义成它们等效的转义序列，这样就可以安全地将它们插入到 SQL 语句中了。

示例代码

下面的示例展示了 mysqli_real_escape_string() 函数的使用。在此示例中，我们将从用户接收一些输入并将其存储在数据库中：

<?php
// PHP 连接到 MySQL 数据库
$con=mysqli_connect("localhost","my_user","my_password","my_db");

// 检测连接
if (mysqli_connect_errno())
  {
  echo "连接 MySQL 失败: " . mysqli_connect_error();
  }

// 从用户接收数据
$user_input = $_POST['user_input'];

// 转义用户输入
$user_input_escaped = mysqli_real_escape_string($con,$user_input);

// 将数据插入数据库
mysqli_query($con,"INSERT INTO my_table (user_input) VALUES ('$user_input_escaped')");

// 关闭数据库连接
mysqli_close($con);
?>

在示例中，我们首先从用户接收一些输入。然后，我们通过调用 mysqli_real_escape_string() 函数来确保数据已正确转义。最后，我们将数据插入到数据库中。

注意事项

尽管 mysqli_real_escape_string() 函数可以有效地防止 SQL 注入攻击，但仍有一些需要注意的事项：

• 必须始终使用 mysqli_real_escape_string() 函数来转义任何从非可信来源接收的数据，包括 GET、POST 和 Cookie 数据等。
• 如果您正在编写一个高度安全性的应用程序，您可能会希望使用参数化查询来确保最大的安全性。这将减少转义数据的需要。
• 尽管 mysqli_real_escape_string() 函数可以防止 SQL 注入攻击，但不能保证免于 XSS（跨站点脚本）攻击，因此您还需要采取其他措施来确保您的应用程序安全。

结论

在 PHP 中，转义 SQL 查询中的特殊字符至关重要，以避免 SQL 注入攻击。通过使用 mysqli_real_escape_string() 函数，您可以轻松地确保输入数据已正确地转义，并可以安全地将其存储在数据库中。