mysql_real_escape_string

定义和用法:该mysql_real_escape_string()函数越狱特殊字符的字符串中使用SQL语句,以下字符的影响:

x00 n r ' " x1a

语法:mysql_real_escape_string(string,connection)

这个函数返回字符串过滤成功,或FALSE的失败.

参数说明:string:必需,指定字符串进行转义connection:可选,指定MySQL连接,如果没有指定,最后连接开幕mysql_connect()或mysql_pconnect()的使用,来看看实例:

$user = mysql_real_escape_string($user);

//开源代码phpfensi.com

$pwd = mysql_real_escape_string($pwd);$sql = "SELECT * FROM users WHERE

user='" . $user . "' AND password='" . $pwd . "'"

// more code

mysql_close($con);

数据库的攻击,这个例子表明会发生什么,如果我们不使用mysql_real_escape_string （）函数的用户名和密码：$_POST['user'] = 'john';

$_POST['pwd'] = "' OR ''='";这样就容易被sql注入.

本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了，原文地址《mysql_real_escape_string – php函数》