`mysql_real_escape_string()` 仍然可以防止 SQL 注入吗？

mysql_real_escape_string() 是一个损坏的函数吗？

人们对 mysql_real_escape_string() 在缓解 SQL 注入漏洞方面的功效提出了担忧，尽管正确使用。怀疑论者引用过时的文章作为其缺陷的证据。

mysql_real_escape_string() 仍然可以使用吗？

为了回答这个问题，我们深入研究了 MySQL C API 文档mysql_real_escape_string():

"如果需要改变字符设置连接，使用 mysql_set_character_set() 而不是执行 SET NAMES。"

代码演示：

mysql_real_escape_string()

说明：

根据文档，与 SET NAMES 不同，mysql_set_character_set() 影响 mysql_real_escape_string() 使用的字符集。因此，您应该使用 mysql_set_charset() 来更改 PHP 应用程序中的编码。

结论：

虽然 mysql_real_escape_string() 可能尚未完全损坏，但必须与 mysql_set_character_set() 结合使用以确保正确的字符集处理并防止潜在的 SQL 注入漏洞。

以上是`mysql_real_escape_string()` 仍然可以防止 SQL 注入吗？的详细内容。更多信息请关注PHP中文网其他相关文章！