基本上,每次您在SQL查询中使用一些不安全的数据(用户输入,来自数据库,文件或外部网站的值,即,您不能 100%
确定安全的任何数据)时,都应使用mysql_real_escape_string。请注意,根据OWASP,此功能对于转义动态表名称并不安全(但这远比“基本”用户输入插入少见)。
我建议您阅读有关SQL注入的整个OWASP文章,并浏览网站的其余部分。它是有关Web应用程序安全性的重要信息来源。
IMO,防止SQL注入的首选方法是使用准备好的语句。
请记住,如果您选择使用
mysql_real_escape_string()它,则仅在用引号分隔的字符串中使用时才起作用。切勿在任何未引用的值上使用它。这包括数值;而是验证用户输入实际上是数字。
