mysql_real_escape_string ALONE不能阻止 任何事情。
而且, 此功能与注射完全无关。
每当需要转义时,尽管有“安全性”,但仍需要转义,只是因为 SQL语法要求 转义 。 而且在您不需要的地方,转义也不会帮助您。
此函数的用法很简单:当您必须在查询中使用 带引号的字符串
时,必须转义其内容。不是因为某些虚构的“恶意用户”,而是只是为了逃避这些用于分隔字符串的引号。这是非常简单的规则,但PHP人士却非常误解。
这只是语法相关的功能,而不是安全性。
取决于此功能在安全方面的重要性,相信它将“保护数据库免受恶意用户的攻击” 将 导致您被注入。
您可以得出的结论:
不,此功能还不够 。
准备好的声明 也不是万灵药。
它只在可能的情况下覆盖您的背部。有关详细信息,请参见我对著名问题所做的重要补充
