mysql_real_escape_string用法
时间: 2023-11-25 18:08:04 浏览: 145
`mysql_real_escape_string`是一个用于防止MySQL SQL注入攻击的函数。
这个函数可以将输入的字符串中的特殊字符转义,使其在MySQL中可以正确地被处理,而不会被误认为是SQL语句的一部分。这样可以有效地防止恶意用户通过输入恶意字符串来攻击数据库。
使用方法如下:
1. 打开数据库连接:
```php
$link = mysql_connect('localhost', 'mysql_user', 'mysql_password');
if (!$link) {
die('Could not connect: ' . mysql_error());
}
mysql_select_db('mydb');
```
2. 对需要转义的字符串调用`mysql_real_escape_string`函数:
```php
$string = "This is an example string' with a special character.";
$escaped_string = mysql_real_escape_string($string);
```
3. 将转义后的字符串插入到数据库中:
```php
$query = "INSERT INTO mytable (column1, column2) VALUES ('$escaped_string', '$another_escaped_string')";
mysql_query($query);
```
注意:为了提高安全性,建议使用MySQLi或PDO等现代化数据库扩展来替代已经过时的mysql函数。
阅读全文