Php mysql\u real\u escape\u string和addslashes之间有什么区别?
Php mysql\u real\u escape\u string和addslashes之间有什么区别?,php,Php,mysql\u real\u escape\u string和addslashes都用于在数据库查询之前转义数据,那么有什么区别呢?(这个问题不是关于参数化查询/PDO/mysqli)似乎mysql\u real\u escape\u string是二进制安全的-文档说明: 如果要插入二进制数据,则必须使用此函数 我认为总是使用mysql\u real\u escape\u string可能比addslashes更安全。string mysql\u real\u escape\u string(
mysql\u real\u escape\u stringaddslashesmysql\u real\u escape\u string我认为总是使用
mysql\u real\u escape\u stringstring mysql\u real\u escape\u string(string$unescaped\u string[,resource$link\u identifier])mysql\u real\u escape\u string()
string addslashes(string$str)
返回在数据库查询等中需要引用的字符之前带有反斜杠的字符串。这些字符是单引号(')、双引号(“)、反斜杠(\)和NUL(空字节)
它们影响不同的角色mysql\u real\u escape\u字符串
是特定于mysql的。Addslashes只是一个通用函数,可以应用于MySQL和其他东西。MySQL\u real\u escape\u string
应该在接收二进制数据时使用,Addslashes
用于文本输入
您可以在这里看到差异:mysql\u real\u escape\u string()addslashes()在这样的情况下,在不应该被转义的字符之前添加一个斜杠,或者更糟的是,在十六个(或三十二个)位字符的中间可能会有一个斜杠,这会损坏数据。
如果需要转义数据库查询中的内容,应尽可能使用
mysql\u real\u escape\u string()$str = "input's data";
print mysql_real_escape_string($str); input\'s data
print addslashes($str); input\'s data;
$str = "input\'s data";
print mysql_real_escape_string($str); input\'s data
print addslashes($str); input\\'s data;
$str = "input's data";
print mysql_real_escape_string($str); input\'s data
print addslashes($str); input\'s data;
$str = "input\'s data";
print mysql_real_escape_string($str); input\'s data
print addslashes($str); input\\'s data;
我认为使用参数化查询可能更安全,尽管询问者已经排除了这一点。@Hank Gay:同意,但在这两种查询中,mysql\u real\u escape\u string是可靠的,您只是复制了定义,并没有真正回答什么是真正的区别,即什么是用法,什么是陷阱,哪一种功能比另一种更好。更好的答案是:再读一遍,你会注意到最后一段,我说不同的字符会受到影响,它总结了引用的文档。你会看到这个问题得到了回答。这个问题没有问“为什么一个比另一个好”或“好处和缺点”。如果您仍然不清楚上述内容,那么链接的答案会更深入,如果值得一读,但我认为没有必要在我的答案中找出漏洞。类似于此问题: