首页 » MySQL » PHP mysqli_real_escape_string()函数--转义 SQL 语句中的特殊字符

PHP mysqli_real_escape_string()函数--转义 SQL 语句中的特殊字符

 

为了防止SQL注入,我们会把用户提交的数据进行转义过滤。

在php5.4之前的版本中,有一个magic_quotes_gpc配置项,当magic_quotes打开时,所有'(单引号)“(双引号),\(反斜杠)和NUL都将自动使用反斜杠进行转义。在php5.4之后的版本不能使用这个方法进行转义。

还有一个mysql函数mysql_real_escape_string(),也是用来转义特殊字符的,但是这个扩展在php5.5中已经弃用,并在php7中删除。

官方文档建议使用MySQLiPDO_MySQL扩展。在这里先介绍一下mysqli的mysqli_real_escape_string()方法。

mysqli_real_escape_string()也分使用面向对象和面向过程两种使用风格。

面向对象风格

$after就是转义后的字符串,可以安全使用。

面向过程风格

参考文档http://php.net/manual/en/mysqli.real-escape-string.php

原文链接:PHP mysqli_real_escape_string()函数--转义 SQL 语句中的特殊字符,转载请注明来源!

0