mysql_real_escape_string()函數

mysql_real_escape_string()函數用于轉義SQL語句中的特殊字符，該函數的語法格式如下：

string mysql_real_escape_string ( string $unescaped_string

[, resource $link_identifier ] )

在上述語法中涉及到的參數說明如下。

unescaped_string：未轉義的字符串。

link_identifier：MySQL的連接標識符。

mysql_real_escape_string()函數不轉義"%" 和 "_"這兩個符號。

使用函數mysql_real_escape_string()函數的示例代碼如下：

代碼23-19 光盤\codes\第23章\23.4\mysql_real_escape_string.php

$connection=mysql_connect("localhost","root","root")

or die("連接服務器失敗");

$person= "Jone's and Bobo's teacher";

$escaped_person= mysql_real_escape_string($person);

echo $escaped_person;

?>

上面代碼的輸出結果如圖23-18所示。

圖23-18 轉義后的字符

Function name must be a string in也就是說沒有申明的變量，查找時注意自己的變量是否申明了，或者是否自己不小心加了一個$。前幾天玉豐學長說了一個解決方法來解決這個問題。如下：

if ($_POST[name] != mysql_real_escape_string($_POST[name]) )

{

exit();

}

如果不大清楚是解決了什么樣的錯誤呢，那么請參考關于一些很無語的php錯誤

下面簡單的說一下我最近對mysql_real_escape_string()函數的理解。

mysql_real_escape_string() 函數轉義 SQL 語句中使用的字符串中的特殊字符。

下列字符受影響： \x00 \n \r \ ' " \x1a 可以說這個函數在某些地方與c++中的/有異曲同工之妙！

如果成功，則該函數返回被轉義的字符串。如果失敗，則返回 false。

關于這個語法mysql_real_escape_string(string,connection)。string是必須寫的，用來描述規定要轉義的字符串。connection可以選擇是否寫，它描述規定的MySQL 連接。如果未規定，默認使用上一個連接。

mysql_real_escape_string 優于addslashes。因為 mysql_real_escape_string考慮到字符集的問題因此可以安全用于 mysql_query()。另外需要注意的是mysql_real_escape_string()不能轉義%及_

在有些時候需要將mysql_real_escape_string與mysql_set_charset一起使用。

下面是我找到的一位大蝦的關于mysql_real_escape_string()函數的認識，稍微做了一點改動，希望記下來和大家一起分享：

{

mysql_real_escape_string()函數的作用：

防止SQL Injection***，也就是你必須驗證用戶的輸入

操作數據的時候避免不必要的字符導致錯誤

例子：***的例子［1］

例子 1

$con = mysql_connect("localhost", "hello", "321");

if (!$con)

{

die('Could not connect: ' . mysql_error());

}

// 獲得用戶名和密碼的代碼

// 轉義用戶名和密碼，以便在 SQL 中使用

$user = mysql_real_escape_string($user);

$pwd = mysql_real_escape_string($pwd);

$sql = "SELECT * FROM users WHERE

user='" . $user . "' AND password='" . $pwd . "'"

// 更多代碼

mysql_close($con);

?>

例子 2

數據庫***。本例演示如果我們不對用戶名和密碼應用 mysql_real_escape_string() 函數會發生什么：

$con = mysql_connect("localhost", "hello", "321");

if (!$con)

{

die('Could not connect: ' . mysql_error());

}

$sql = "SELECT * FROM users

WHERE user='{$_POST['user']}'

AND password='{$_POST['pwd']}'";

mysql_query($sql);

// 不檢查用戶名和密碼

// 可以是用戶輸入的任何內容，比如：

$_POST['user'] = 'john';

$_POST['pwd'] = "' OR ''='";

// 一些代碼...

mysql_close($con);

?>

那么 SQL 查詢會成為這樣：

SELECT * FROM users WHERE user='john' AND password='' OR ''=''這意味著任何用戶無需輸入合法的密碼即可登陸。

例子 3

預防數據庫***的正確做法：

function check_input($value)

{

// 去除斜杠

if (get_magic_quotes_gpc())

{

$value = stripslashes($value);

}

// 如果不是數字則加引號

if (!is_numeric($value))

{

$value = "'" . mysql_real_escape_string($value) . "'";

}

return $value;

}

$con = mysql_connect("localhost", "hello", "321");

if (!$con)

{

die('Could not connect: ' . mysql_error());

}

// 進行安全的 SQL

$user = check_input($_POST['user']);

$pwd = check_input($_POST['pwd']);

$sql = "SELECT * FROM users WHERE

user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);

?>

總結

以上是生活随笔為你收集整理的mysql real escape,mysql_real_escape_string（）函数的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。