在PHP手册中,有一条注释:
注意:如果不使用此功能对数据进行转义,则该查询容易受到SQL注入攻击的攻击。
这足以进行反SQL注入吗?如果没有,您能举个例子和一个好的反SQL注入解决方案吗?
mysql_real_escape_string通常足以避免SQL注入。不过,这确实取决于它是否没有错误,即它 存在 脆弱性的可能性很小(但是这还没有在现实世界中体现出来)。准备好的语句是在概念上完全排除SQL注入的更好的替代方法。这两种方法完全取决于您正确应用它们。即,如果您只是将其弄乱,它们都不会保护您。
mysql_real_escape_string