mysql_real_escape_string() 函数用来转义 SQL 语句中使用的字符串中的特殊字符
转义特殊字符在

unescaped_string，考虑到当前字符的连接设置，以便它在的地方是安全的

在

mysql_query（）它。如果二进制数据要插入，这个函数必须被使用

 
下列字符受影响：
\x00
\n
\r
\
'
"
\x1a
如果成功，则该函数返回被转义的字符串。如果失败，则返回

 false。

语法
mysql_real_escape_string(string,connection)
参数

  描述

string  必需。规定要转义的字符串。
connection  可选。规定 MySQL 连接。如果未规定，则使用上一个连接。
 
说明
本函数将

 string 中的特殊字符转义，并考虑到连接的当前字符集，因此可以安全用于

 

mysql_query()。
提示和注释
提示：可使用本函数来预防数据库攻击。
例子
例子

 1

代码如下

:

 
<?php

$con

 = mysql_connect("localhost", "hello", "321");

if

 (!

$con

)

  

{

  

die

('Could not connect: ' . mysql_error());

  

}

// 获得用户名和密码的代码
// 转义用户名和密码，以便在 SQL 中使用

$user

 = mysql_real_escape_string(

$user

);

$pwd

 = mysql_real_escape_string(

$pwd

);

$sql

 = "SELECT * FROM users WHERE

user='" . $user . "' AND password='" . $pwd . "'"

// 更多代码

mysql_close(

$con

);

?>
例子

 2