在没有预先准备的语句的情况下清理 MySQL 查询（PHP + 旧的 mysql 模块）

Question

注意：我看过这个问题： Preventing SQL Injection without prepared statements (JDBC ）。正如我所预料的那样......答案是使用准备好的语句。我处于不同的情况......所以我想知道最好的途径。

我正在使用下载的脚本（phpsimplechat），作者在其中编写了自己的简单 SQL 层（注意：它支持 PostgreSQL 和 MySQL）。不幸的是，我对其进行了一些测试，发现它很容易受到 SQL 注入攻击。从功能的角度来看，该脚本做了我想要的一切，所以我想挽救它。

幸运的是，它是开源的...但我不想重写所有 SQL 查询以使用 phpsimplechat 中的准备好的语句。 3rd 方库使用自己的 SQL 层而不是 PDO...并且在其下使用旧的 mysql 模块（因此，我不能使用准备好的语句。即使我更改了 mysql -> mysqli，我也必须处理“ dbQuery”层他放在所有代码之上）。我不需要 PostgreSQL 代码，因此答案可以是 MySQL 特定的。

我读到，addslashes 不足以防范所有 SQL 注入尝试。 mysql_real_escape_string 使用安全吗？

Answer 1

是的，如果您正确使用它，mysql_real_escape_string 就保证是安全的，即确保查询中出现的所有字符串都被转义。