mysql_real_escape_string()做什么，addslashes()不做什么? [英] What does mysql_real_escape_string() do that addslashes() doesn't?

问题描述

为什么我们需要特定于数据库的功能，例如mysql_real_escape_string()? addlashes()不能做什么?

Why do we need a DB-specific functions like mysql_real_escape_string()? What can it do that addslashes() doesn't?

暂时忽略使用参数化查询的高级替代方法的是，一个仅使用addlashes()的web应用仍然容易受到SQL注入的攻击，如果可以，怎么办?

Ignoring for the moment the superior alternative of parameterized queries, is a webapp that uses addslashes() exclusively still vulnerable to SQL injection, and if yes, how?

推荐答案

在处理多字节编码的字符串时，加号通常不够好.

Addslashes is generally not good enough when dealing with multibyte encoded strings.

这篇关于mysql_real_escape_string()做什么，addslashes()不做什么?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！