為什麼在 MySQL 查詢中使用 mysql_real_escape_string 而不是 addslashes？

理解mysql_real_escape_string和addslashes之間的區別

在PHP中，在資料庫查詢中使用字串之前通常使用兩個函數來轉義它們：my_real_escape_string addslashes。雖然兩者的用途相似，但需要考慮一些細微的差異。

addslashes

此函數在特定字元之前加上反斜線：'（單引號）、"（雙引號） )、（反斜線）和NUL （NULL 位元組）它可以防止這些字元被解釋為SQL 注入攻擊的一部分。是專為MySQL 設計的，它為MySQL 需要轉義的字元添加反斜杠，包括x00、n、r、x1a、'（單引號）和"（雙引號）。但要注意的是，MySQL 中轉義的實際實作可能會涉及額外的字元。

mysql_real_escape_string 中未轉義字元的意義

兩者之間的關鍵差異功能在於沒有用addslashes轉義的字元。其中包括：

x00:

該字元表示 NULL 位元組，在 C 和其他程式語言中通常用於標記字串的結尾。轉義它有助於防止查詢過早終止。

n:
• 該字元表示換行符。轉義它可確保將其視為查詢中字串的一部分，而不是導致立即返回到下一行。
r:
• 此字元表示回車符。出於與 n 相同的原因，轉義它很重要。
x1a:
• 該字符稱為「control-Z」字符，可能會在 MySQL 查詢中導致意外行為。轉義它可以防止任何潛在的問題。
• 建議
通常建議使用資料提供者的轉義函數，例如mysql_real_escape_string，而不是addslashes。這可確保為所使用的特定資料庫適當地準備字串。雖然 mysql_real_escape_string 已被棄用，但較新版本的 PHP 可能會具有類似的替換函數，用於在 MySQL 查詢中轉義字串。

以上是為什麼在 MySQL 查詢中使用 mysql_real_escape_string 而不是 addslashes？的詳細內容。更多資訊請關注PHP中文網其他相關文章！