mysqli_real_escape_string 安全吗？

Question

我是 PHP 新手，我意识到我的数据库连接，使用 php 表单（带有用户和传递文本输入）是完全不安全的：

这是可行的，但不安全：

<?php
$link=mysqli_connect('localhost','xx','xx','xx');
$sql='  SELECT * FROM usuarios 
        WHERE username="'.$_POST['usuario'].'" 
        AND pass="'.$_POST['usuario'].'"
     ';
$rs=mysqli_query($link,$sql);
mysqli_close($link);
?>

所以，我已经阅读了 mysqli_real_escape_string，并决定尝试一下：

<?php    
$link=mysqli_connect('localhost','xx','xx','xx');
$usuario=mysqli_real_escape_string($link, $_POST["usuario"]);
$clave=mysqli_real_escape_string($link, $_POST["clave"]);
$sql='  SELECT * FROM usuarios 
        WHERE username="'.$usuario.'" 
        AND pass="'.$clave.'"
     ';
$rs=mysqli_query($link,$sql);
mysqli_close($link);
?>

这是正确的吗？这是如何使用 mysqli_real_escape_string 的一个很好的例子吗？

Answer 1

这是正确的吗？

是的。

这是如何使用 mysqli_real_escape_string 的一个很好的例子吗？

否

如果曾经使用过，这个函数必须被封装到一些内部处理中，并且永远不必直接从应用程序代码中调用。必须使用 占位符 来表示查询中的数据：

$sql='SELECT * FROM usuarios WHERE username=? AND pass=?';

然后，在处理占位符标记时，可能应用此函数（如果适用），但不是单独应用，而是沿所有格式规则应用。

Answer 2

是的，您将立即使用它。

使用 mysqli 的好处是它是面向对象的。 所以你可以这样使用它：

<?php

$mysqli = new mysqli("host", "user", "password", "database");

$usuario = $mysqli->real_escape_string($_POST["usuario"]);
$clave = $mysqli->real_escape_string($_POST["clave"]);

$sql='  SELECT * FROM usuarios 
        WHERE username="'.$usuario.'" 
        AND pass="'.$clave.'"
     ';

$mysqli->query($sql);

$mysqli->close();
?>

或者你可以使用 PDO。

Answer 3

mysqli() 函数的使用只应保留给框架开发人员和其他了解它可能带来的所有安全问题的人。对于其他所有人，有PDO。它与 mysqli() 一样易于使用，而且更安全。