mysql_real_escape_string() 函数用来转义 SQL 语句中使用的字符串中的特殊字符
转义特殊字符在
unescaped_string,考虑到当前字符的连接设置,以便它在的地方是安全的
在
mysql_query()它。如果二进制数据要插入,这个函数必须被使用
下列字符受影响:
\x00
\n
\r
\
'
"
\x1a
如果成功,则该函数返回被转义的字符串。如果失败,则返回
false。
语法
mysql_real_escape_string(string,connection)
参数
描述
string 必需。规定要转义的字符串。
connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。
说明
本函数将
string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用于
mysql_query()。
提示和注释
提示:可使用本函数来预防数据库攻击。
例子
例子
1
代码如下
:
<?php
$con
= mysql_connect("localhost", "hello", "321");
if
(!
$con
)
{
die
('Could not connect: ' . mysql_error());
}
// 获得用户名和密码的代码
// 转义用户名和密码,以便在 SQL 中使用
$user
= mysql_real_escape_string(
$user
);
$pwd
= mysql_real_escape_string(
$pwd
);
$sql
= "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"
// 更多代码
mysql_close(
$con
);
?>
例子
2