mysql_real_escape_string() 是一个损坏的函数吗?
人们对 mysql_real_escape_string() 在缓解 SQL 注入漏洞方面的功效提出了担忧,尽管正确使用。怀疑论者引用过时的文章作为其缺陷的证据。
mysql_real_escape_string() 仍然可以使用吗?
为了回答这个问题,我们深入研究了 MySQL C API 文档mysql_real_escape_string():
"如果需要改变字符设置连接,使用 mysql_set_character_set() 而不是执行 SET NAMES。"
代码演示:
mysql_real_escape_string()
说明:
根据文档,与 SET NAMES 不同,mysql_set_character_set() 影响 mysql_real_escape_string() 使用的字符集。因此,您应该使用 mysql_set_charset() 来更改 PHP 应用程序中的编码。
结论:
虽然 mysql_real_escape_string() 可能尚未完全损坏,但必须与 mysql_set_character_set() 结合使用以确保正确的字符集处理并防止潜在的 SQL 注入漏洞。
以上是`mysql_real_escape_string()` 仍然可以防止 SQL 注入吗?的详细内容。更多信息请关注PHP中文网其他相关文章!
