什么时候应该使用 PHP mysqli_real_escape_string() 函数？ [复制]

Question

我知道mysqli_real_escape_string函数可以用来防止SQL注入。 （但是，mysql_real_escape_string() 不会保护您免受某些注入）

我的问题是什么时候应该使用 mysqli_real_escape_string() 函数？

情况01

我有一个注册表单，其中包含 4 个字段，分别称为名字、姓氏、电子邮件、密码。

我也应该使用 mysqli_real_escape_string() 来插入查询吗？所有四个字段？

或者在登录表单中使用就足够了？

情况02

我有一个个人资料页面，例如 profile.php?user_name=damith

我在此页面的许多功能中都使用了 $_GET['user_name']。

我应该在所有这些函数中使用 mysqli_real_escape_string() 吗？

Answer 1

您应该在 any 参数上使用 real_escape_string 作为 string literal 混合到 sql 语句中。并且仅在那些字符串文字值上。

因此Situation 01 和Situation 02 的描述不足以回答这些具体问题。应该是yes。

Answer 2

mysqli_real_escape_string() 不再是确保您保存在数据库中的数据安全的最佳方式。相反，您应该使用准备好的语句：http://php.net/manual/en/mysqli.quickstart.prepared-statements.php

至于您的问题：任何时候您将不确定的数据（尤其是如果该数据来自未知来源，如网络表单）放入数据库时​​，您应该确保其格式适合您的数据库。 mysqli_real_escape_string() 只能对字符串文字执行此操作，这就是为什么准备好的语句是更好的方法。每当您执行依赖于用户提交数据的查询时，您都应该使用准备好的语句。

当您输出数据显示给用户时，您不需要使用 mysqli_real_escape_string()，而应该使用htmlspecialchars() (http://php.net/htmlspecialchars) 为网络转义

情况 1 - 是肯定的，甚至更好的是使用准备好的语句。

情况 2 - 如果您在网页上向用户显示数据，则无需使用 mysqli_real_escape_string()，而应使用 htmlspecialchars() 来降低 XSS 和其他代码注入攻击的风险。

几个例子：

<?php 
// Prepared statement.  Save the user's first name to the database:
$stmt = $mysqli->prepare("INSERT INTO users(first_name) VALUES (?)");
$stmt->bind_param("s", $first_name);
$stmt->execute();

// Echo the user's first name back to them
echo "Saved your first name: " . 
      htmlspecialchars($first_name) . " to the database.";

有关防止 SQL 注入的更多信息，请参阅这个出色的答案：How can I prevent SQL injection in PHP?