mysql_real_escape_string足以防SQL注入吗？

Question

PHP手册中有这样一段注释：

注意：如果不使用该功能 转义数据，查询容易受到攻击 SQL注入攻击。

这足以防sql注入吗？如果没有的话，能否给出一个例子以及一个好的防sql注入的解决方案？

Answer 1

mysql_real_escape_string 通常足以避免 SQL 注入。但这确实取决于它是否没有错误，即存在一些未知的小机会它容易受到攻击（但这尚未在现实​​世界中显现出来）。在概念层面上完全排除 SQL 注入的更好替代方案是准备好的语句。这两种方法完全取决于您是否正确应用它们；也就是说，如果你把事情搞砸了，两者都不会保护你。

Answer 2

据我所知，这是避免 SQL 注入攻击的可靠方法。

Answer 3

最好的解决方案是 PDO。

如果您使用传统的 mysql_query 然后通过 mysql_real_escape_string() 运行所有数据就足够了。