mysql查詢與插入資料單引號的問題分析

有關mysql查詢或插入資料時遇到單引號的問題，我們用到最多的三個函數就是mysql_real_escape_string、addslashes以及mysql_escape_string，來處理相關問題。 本文主要介紹mysql_real_escape_string對使用者提交的表單資料進行轉義處理。並介紹addslashes以及mysql_escape_string這3個類似功能的函數用法區別。 Mysql查詢帶引號和不帶引號區別當資料庫欄位ID為整型時select ID from table where ID=1和select ID from table where ID='1'兩條sql都是可以的,但是第一條sql不用進行隱式轉換,速度上比第二條sql略快一些 向mysql資料庫中插入帶單引號字串，什麼錯也沒報就是語句執行失敗，原因在於單引號等要轉義，可以使用函數：mysql_real_escape_string和addslashes函數；在sql防注入方面，addslashes的問題在於駭客可以用0xbf27來代替單引號，而addslashes只是將0xbf27修改為0xbf5c27，成為一個有效多位元組字元，其中的0xbf5c仍會被看作是單引號，所以addslashes無法成功攔截。 當然addslashes也不是毫無用處，它是用於單位元組字串的處理，多位元組字元還是用mysql_real_escape_string吧。 php手冊中get_magic_quotes_gpc的例子： 在magic_quotes_gpc已經開放的情況下，還是對$_POST['lastname']進行檢查一下。 mysql_real_escape_string和mysql_escape_string這2個函數的區別：mysql_real_escape_string 必須在(PHP 4 >= 4.3.0, PHP 5)的情況下才能使用。否則只能用 mysql_escape_string ，兩者的區別是：mysql_real_escape_string 考慮到串連的當前字元集，而mysql_escape_string 不考慮。 總結：addslashes() 是強行加；mysql_real_escape_string() 會判斷字元集，但是對PHP版本有要求；mysql_escape_string不考慮串連的當前字元集。

