根据Stefan Esser的说法, “mysql_real_escape_string()
[ SET NAMES
使用时不安全] 。”
来自他的博客的解释:
SET
NAMES通常用于将编码从默认设置切换到应用程序需要的设置。这是mysql_real_escape_string不知道的方式完成的。这意味着,如果您切换到允许反斜杠作为2nd
3rd 4th…字节的多字节编码,则会遇到麻烦,因为mysql_real_escape_string无法正确转义。UTF-8是安全的…更改编码的安全方法是
mysql_set_charset,但这仅在新的PHP版本中可用
他确实提到UTF-8是安全的。
