php mysql_real_escape_string函数用法与实例教程

php中mysql_real_escape_string函数是一个用于转义SQL查询中字符串特殊字符的函数，目的是为了防止SQL注入攻击。在Web开发中，通过用户输入构造SQL查询是非常常见的情况，然而恶意用户可能通过输入特殊格式的数据，来干扰SQL语句的正常执行，甚至读取或修改数据库中的信息，这就是SQL注入攻击。 为了防范这种攻击，开发者需要确保用户输入的数据在插入SQL语句之前被适当处理。mysql_real_escape_string函数通过在某些特殊字符前加上反斜杠（\）来转义这些字符。这些被转义的特殊字符包括： - \x00（ASCII为零字符） - \n（换行符） - \r（回车符） - \（反斜杠） - '（单引号） - "（双引号） - \x1a（ASCII为26字符） 函数的基本用法是： ```php string mysql_real_escape_string ( string $unescaped_string [, resource $link_identifier ] ) ``` 其中，$unescaped_string参数是需要被转义的字符串，而可选的第二个参数(link_identifier)是数据库连接标识，如果没有指定，默认使用上一个打开的数据库连接。 当调用成功时，mysql_real_escape_string返回转义后的字符串，如果连接失效，则返回false。 接下来我们来看几个实际的使用例子。 例子1： ```php $con=mysql_connect("localhost","hello","321"); if(!$con) { die('Could not connect:'.mysql_error()); } // 获得用户名和密码的代码 // 转义用户名和密码，以便在SQL中使用 $user=mysql_real_escape_string($user); $pwd=mysql_real_escape_string($pwd); $sql="SELECT * FROM users WHERE user='$user' AND password='$pwd'"; // 更多代码 mysql_close($con); ``` 在例子1中，用户输入的用户名和密码通过mysql_real_escape_string函数进行转义，然后安全地用于SQL查询。 例子2演示了不使用mysql_real_escape_string函数可能造成的安全漏洞： ```php $sql="SELECT * FROM users WHERE user='{$_POST['user']}' AND password='{$_POST['pwd']}'"; mysql_query($sql); // 不检查用户名和密码 // 可以是用户输入的任何内容，比如： $_POST['user']='john'; $_POST['pwd']='\'OR\'\'=\''; ``` 在这种情况下，如果用户输入“'OR'='”，那么SQL查询就会变成： ```sql SELECT * FROM users WHERE user='john' OR ''=' ``` 这会导致攻击者无需输入密码即可登录系统。 例子3展示了如何正确地使用函数来预防数据库攻击： ```php function check_input($value) { // 去除斜杠 if(get_magic_quotes_gpc()) { $value=stripslashes($value); } // 如果不是数字则加引号 if(!is_numeric($value)) { $value="'".mysql_real_escape_string($value)."'"; } return $value; } // 进行安全的SQL $user=check_input($_POST['user']); $pwd=check_input($_POST['pwd']); $sql="SELECT * FROM users WHERE user=$user AND password=$pwd"; mysql_query($sql); ``` 在例子3中，创建了一个check_input函数，它对输入的值进行了清理和转义，然后在构建SQL查询时使用了返回的值。这样可以确保所有的输入都经过了适当的处理，从而有效地防止了SQL注入攻击。 需要注意的是，mysql_real_escape_string函数是针对MySQL数据库的，且使用旧式的mysql扩展，这种扩展已经不被推荐使用了。PHP5.5.0之后的版本中，mysql扩展已被废弃，并在PHP7.0.0中被移除。目前推荐使用PDO或mysqli扩展，这两个扩展都提供了更好的性能和安全性。如果在使用新的扩展，应使用mysqli_real_escape_string函数或者PDO提供的预处理语句和参数绑定来预防SQL注入。