`mysql_real_escape_string()` 真的能夠防止 SQL 注入嗎？

解決mysql_real_escape_string() 的缺陷

儘管它在PHP 應用程式中廣泛使用，但有些人對mysql_real_escape_string(提出了擔憂）。此函數旨在透過轉義使用者輸入中的特殊字元來防止 SQL 注入攻擊。

mysql_real_escape_string() 完全不夠嗎？

MySQL C API 文件承認潛在的mysql_real_escape_string() 的問題。它建議避免使用 SET NAMES/SET CHARACTER SET 語句來變更已連接的字元集。相反，應該在使用 mysql_real_escape_string() 之前呼叫函數 mysql_set_character_set()。

證明程式碼

PHP 函數 mysql_set_charset() 修改 mysql_real_escape_string 使用的字元集()。下面的程式碼片段對此進行了說明：

透過遵循此方法，可以明確設定 mysql_real_escape_string() 使用的字元集，確保特殊字元正確轉義。

以上是`mysql_real_escape_string()` 真的能夠防止 SQL 注入嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！