PHP 语言 如何对字符串进行 SQL 转义

摘要：

在PHP中，对字符串进行SQL转义是防止SQL注入攻击的重要手段。本文将详细介绍PHP中如何对字符串进行SQL转义，包括使用内置函数、自定义函数以及注意事项，旨在帮助开发者更好地理解和应用这一技术。

一、

SQL注入是一种常见的网络安全漏洞，攻击者通过在输入数据中插入恶意的SQL代码，从而实现对数据库的非法操作。为了防止SQL注入，对输入字符串进行转义是必不可少的。PHP提供了多种方法来实现字符串的SQL转义，本文将逐一介绍。

二、使用PHP内置函数进行SQL转义

PHP提供了两个内置函数用于对字符串进行SQL转义：`mysqli_real_escape_string()`和`mysql_real_escape_string()`。这两个函数分别适用于MySQLi和MySQL扩展。

1. `mysqli_real_escape_string()`

php
$mysqli = new mysqli("localhost", "username", "password", "database");

if ($mysqli->connect_errno) {

    echo "Failed to connect to MySQL: " . $mysqli->connect_error;

}

// 对字符串进行转义

$escaped_string = $mysqli->real_escape_string($string);

// 使用转义后的字符串进行数据库操作

$query = "SELECT  FROM table WHERE column = '$escaped_string'";

$result = $mysqli->query($query);

// 处理结果集

// ...

2. `mysql_real_escape_string()`

php
$connection = mysql_connect("localhost", "username", "password");

if (!$connection) {

    die("Failed to connect to MySQL: " . mysql_error());

}

// 对字符串进行转义

$escaped_string = mysql_real_escape_string($string);

// 使用转义后的字符串进行数据库操作

$query = "SELECT  FROM table WHERE column = '$escaped_string'";

$result = mysql_query($query, $connection);

// 处理结果集

// ...

mysql_close($connection);

三、使用自定义函数进行SQL转义

虽然内置函数可以有效地对字符串进行转义，但有时候我们需要更灵活的控制。这时，我们可以编写自定义函数来实现SQL转义。

php
function custom_escape_string($string, $connection) {

    if (is_resource($connection)) {

        return mysql_real_escape_string($string, $connection);

    } else {

        return $string;

    }

}

// 使用自定义函数进行转义

$escaped_string = custom_escape_string($string, $connection);

// 使用转义后的字符串进行数据库操作

$query = "SELECT  FROM table WHERE column = '$escaped_string'";

$result = mysql_query($query, $connection);

// 处理结果集

// ...

mysql_close($connection);

四、注意事项

1. 使用参数化查询（Prepared Statements）是防止SQL注入的最佳实践。参数化查询可以自动对输入参数进行转义，无需手动处理。

php
$mysqli = new mysqli("localhost", "username", "password", "database");

if ($mysqli->connect_errno) {

    echo "Failed to connect to MySQL: " . $mysqli->connect_error;

}

// 使用参数化查询

$stmt = $mysqli->prepare("SELECT  FROM table WHERE column = ?");

$stmt->bind_param("s", $escaped_string);

$stmt->execute();

$result = $stmt->get_result();

// 处理结果集

// ...

$stmt->close();

$mysqli->close();

2. 不要直接将用户输入拼接到SQL语句中，这很容易导致SQL注入。

3. 在使用自定义函数进行SQL转义时，确保传递正确的数据库连接资源。

五、总结

在PHP中，对字符串进行SQL转义是防止SQL注入攻击的重要手段。本文介绍了使用内置函数和自定义函数进行SQL转义的方法，并强调了使用参数化查询的重要性。通过合理地应用这些技术，可以有效提高PHP应用程序的安全性。