mysql_real_escape_string要避免的错误

尽管mysql_real_escape_string是防止SQL注入的常用方法，但如果使用不当，可能无法防止攻击。虽然它可以有效地转义字符串值中的特殊字符，但在某些情况下，其有效性可能会受到影响。

正确用法：引用的字符串值

mysql_real_escape_string 仅应在以下情况下使用在 SQL 语句中插入用引号引起来的文本内容。例如：

$value = mysql_real_escape_string($value, $link);
$sql = "... `foo` = '$value' ...";

不正确的用法

mysql_real_escape_string 的不正确应用可能会导致漏洞。常见错误包括：

• 在非引用上下文中使用它（例如，... column_name = $value ...）
• 将其应用于非字符串值（例如，数字输入）
• 在 SQL 上下文之外误用它（例如，$sql = mysql_real_escape_string("... foo = '$value' ..."))

编码注意事项

另一个陷阱是错误配置数据库连接编码。正确的方法是：

mysql_set_charset('utf8', $link);

但是，使用 mysql_query("SET NAMES 'utf8'", $link) 可能会导致 mysql_ API 之间的差异假设的编码和数据库的实际编码。这可能会允许涉及多字节字符串的注入攻击。

结论

如果按预期使用，mysql_real_escape_string 仍然是一个有价值的工具。然而，认识到其局限性并正确应用它对于防止 SQL 注入漏洞至关重要。建议探索更现代的替代方案，例如准备好的语句以提高安全性和易用性。