mysql_real_escape_string（）函數

 

 

mysql_real_escape_string()函數

mysql_real_escape_string()函數用於轉義SQL語句中的特殊字符，該函數的語法格式以下：

  
  
  
  

   
   
   
   
string mysql_real_escape_string ( string $unescaped_string
   
   
   
   
[, resource $link_identifier ] )
  
  
  
  

在上述語法中涉及到的參數說明以下。

unescaped_string：未轉義的字符串。

link_identifier：MySQL的鏈接標識符。

mysql_real_escape_string()函數不轉義"%" 和 "_"這兩個符號。

使用函數mysql_real_escape_string()函數的示例代碼以下：

代碼23-19 光盤\codes\第23章\23.4\mysql_real_escape_string.php

   
   
   
   

    
    
    
    
<?php
    
    
    
    
$connection=mysql_connect("localhost","root","root")
    
    
    
    
or die("鏈接服務器失敗");
    
    
    
    
$person= "Jone's and Bobo's teacher";
    
    
    
    
$escaped_person= mysql_real_escape_string($person);
    
    
    
    
echo $escaped_person;
    
    
    
    
?>
   
   
   
   

上面代碼的輸出結果如圖23-18所示。

圖23-18 轉義後的字符

Function name must be a string in也就是說沒有申明的變量，查找時注意本身的變量是否申明瞭，或者是否本身不當心加了一個$。前幾天玉豐學長說了一個解決方法來解決這個問題。以下：

if ($_POST[name] != mysql_real_escape_string($_POST[name]) )
{
exit();
}

若是不大清楚是解決了什麼樣的錯誤呢，那麼請參考關於一些很無語的php錯誤

下面簡單的說一下我最近對mysql_real_escape_string（）函數的理解。

　mysql_real_escape_string() 函數轉義 SQL 語句中使用的字符串中的特殊字符。

　　下列字符受影響： \x00 \n \r \ ' " \x1a 能夠說這個函數在某些地方與c++中的/有殊途同歸之妙！

　　若是成功，則該函數返回被轉義的字符串。若是失敗，則返回 false。

關於這個語法mysql_real_escape_string(string,connection)。string是必須寫的，用來描述規定要轉義的字符串。connection能夠選擇是否寫，它描述規定的MySQL 鏈接。若是未規定，默認使用上一個鏈接。

mysql_real_escape_string 優於addslashes。由於 mysql_real_escape_string考慮到字符集的問題所以能夠安全用於 mysql_query()。另外須要注意的是mysql_real_escape_string（）不能轉義%及_

在有些時候須要將mysql_real_escape_string與mysql_set_charset一塊兒使用。

下面是我找到的一位大蝦的關於mysql_real_escape_string（）函數的認識，稍微作了一點改動，但願記下來和你們一塊兒分享：

{

mysql_real_escape_string（）函數的做用：

1. 防止SQL Injection***，也就是你必須驗證用戶的輸入
2. 操做數據的時候避免沒必要要的字符致使錯誤

例子：***的例子［1］

例子 1
<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
// 得到用戶名和密碼的代碼

// 轉義用戶名和密碼，以便在 SQL 中使用
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);

$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"

// 更多代碼

mysql_close($con);
?>

例子 2
數據庫***。本例演示若是咱們不對用戶名和密碼應用 mysql_real_escape_string() 函數會發生什麼：

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);

// 不檢查用戶名和密碼
// 能夠是用戶輸入的任何內容，好比：
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";

// 一些代碼...

mysql_close($con);
?>

那麼 SQL 查詢會成爲這樣：

SELECT * FROM users WHERE user='john' AND password='' OR ''=''這意味着任何用戶無需輸入合法的密碼便可登錄。

例子 3
預防數據庫***的正確作法：

<?php
function check_input($value)
{
// 去除斜槓
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// 若是不是數字則加引號
if (!is_numeric($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}

// 進行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

【轉載】原文：http://blog.sina.com.cn/s/blog_6f145be10100qh18.html