PHP mysqli_real_escape_string()函数--转义 SQL 语句中的特殊字符

为了防止SQL注入，我们会把用户提交的数据进行转义过滤。

在php5.4之前的版本中，有一个magic_quotes_gpc配置项，当magic_quotes打开时，所有'（单引号）“（双引号），\（反斜杠）和NUL都将自动使用反斜杠进行转义。在php5.4之后的版本不能使用这个方法进行转义。

还有一个mysql函数mysql_real_escape_string()，也是用来转义特殊字符的，但是这个扩展在php5.5中已经弃用，并在php7中删除。

官方文档建议使用MySQLi或PDO_MySQL扩展。在这里先介绍一下mysqli的mysqli_real_escape_string()方法。

mysqli_real_escape_string()也分使用面向对象和面向过程两种使用风格。

面向对象风格

PHP

1 2 3

$befor = "I'm a student" ; $mysqli = new mysqli ( DB_HOST , DB_USER , DB_PASS , DB_NAME ) ; $after = $mysqli -> real_escape_string ( $befor ) ;

$after就是转义后的字符串，可以安全使用。

面向过程风格

PHP

1 2 3

$befor = "I'm a student" ; $link = mysqli_connect ( DB_HOST , DB_USER , DB_PASS , DB_NAME ) ; $after = mysqli_real_escape_string ( $link , $befor ) ;

参考文档http://php.net/manual/en/mysqli.real-escape-string.php