mysql_real_escape_string() 可以安全地与自定义准备语句一起使用吗？

mysql_real_escape_string() 是否存在不可修复的缺陷？

一些怀疑论者认为 mysql_real_escape_string() 函数存在根本性缺陷，无法可靠地保护 SQL 查询。他们指出过时的文章作为证据。

它可以用于自定义准备语句吗？

尽管有这些担忧，仍然可以利用 mysql_real_escape_string() 来创建自定义准备的语句。但是，它需要仔细注意字符集处理。

解决方案：

根据 mysql_real_escape_string() 的 MySQL C API 文档，您应该使用 mysql_set_character_set() 来设置字符集。这确保它也会影响 mysql_real_escape_string() 使用的字符集。

代码示例：

#include <mysql.h>

int main() {
  MYSQL *conn = mysql_init(NULL);
  mysql_real_connect(conn, "localhost", "user", "password", "database", 0, NULL, 0);

  // Change the encoding using mysql_set_charset()
  mysql_set_charset(conn, "utf8");

  // Create a custom prepared statement using mysql_real_escape_string()
  char query[1024];
  mysql_real_escape_string(conn, query, "SELECT * FROM users WHERE username='test'", sizeof(query));

  // Execute the query
  mysql_query(conn, query);

  mysql_close(conn);
  return 0;
}

通过遵循此方法并避免设置名称/设置字符集，您可以有效地利用 mysql_real_escape_string() 来保护您的 SQL 查询免受注入。

以上是mysql_real_escape_string() 可以安全地与自定义准备语句一起使用吗？的详细内容。更多信息请关注PHP中文网其他相关文章！