PHP mysql_real_escape_string() 函数全面解析

一、函数概述

PHP mysql_real_escape_string() 函数是 PHP MySQL 扩展库中的一个安全功能，用于在将字符串用于 MySQL 查询之前，对其进行转义。这个函数是防止 SQL 注入攻击的重要工具。

二、参数详解

mysql_real_escape_string() 函数的基本语法如下：

php
DownloadCopy code
1string mysql_real_escape_string ( string $unescaped_string [, resource $link_identifier ] )

此方法有两个参数：

• $unescaped_string：必需，需要转义的原始字符串。
• $link_identifier：可选，由 mysql_connect() 或 mysql_pconnect() 返回的 MySQL 连接标识符。如果未指定，则使用最后一个打开的连接。

三、函数示例

php
DownloadCopy code
1<?php
2$link = mysql_connect('localhost', 'mysql_user', 'mysql_password');
3if (!$link) {
4    die('无法连接: ' . mysql_error());
5}
6
7$user_input = "O'Reilly";
8$escaped_input = mysql_real_escape_string($user_input, $link);
9
10$query = "INSERT INTO users (name) VALUES ('$escaped_input')";
11$result = mysql_query($query);
12
13if ($result) {
14    echo "数据已成功插入";
15} else {
16    echo "错误: " . mysql_error();
17}
18
19mysql_close($link);
20?>

在此示例中，mysql_real_escape_string() 函数用于转义用户输入，以防止 SQL 注入攻击。

四、注意事项

• mysql_real_escape_string() 函数在 PHP 5.5.0 中被弃用，并在 PHP 7.0.0 中被移除。建议使用 mysqli_real_escape_string() 或 PDO 来替代。
• 在使用此函数之前，确保已经建立了有效的 MySQL 连接。

五、总结

mysql_real_escape_string() 函数曾是 PHP MySQL 扩展中用于提高数据库查询安全性的一个重要工具。随着 PHP 的发展，现在推荐使用 mysqli 或 PDO 扩展来进行更安全和现代的数据库操作。