mysql_real_escape_string 删除整个字符串

Question

我正在为我的网站编写一个身份验证系统，我想确保我免受 SQL 注入的影响。我正在使用“mysql_real_escape_string”，但这会完全清除字符串。用户名类似于“Damo”，但在运行该函数后它就消失了。

我做错了什么？ （没有 mysql_real_escape_string 也能正常工作）

$user_name = $_POST["username"];
$md5 = md5($_POST["password"]);

$user_name = mysql_real_escape_string($user_name);


$login = $query->GetSingleQuery("--SINGLE","SELECT user_name, id FROM url_users WHERE user_name='".$user_name."' and user_password='".$md5."';",array("user_name","id"));

Answer 1

mysql_real_escape_string 需要连接。假定该连接是作为同一库的一部分创建的。

但是，mysql_real_escape_string 不是基于 OO 的，并且您显然正在为 OO $query 使用其他库（它是什么？） 。因此 mysql_real_escape_string 无法“查看”您正在使用的连接，因此它无法工作。

如果您打开错误报告（您确实应该这样做），您应该会看到为此生成的 E_WARNING。

目前，我建议改为 mysql_escape_string。它的使用可能与您的数据库连接的字符集不匹配，但它现在可以满足您的需要，并且不需要连接。理想情况下，使用您实际使用的数据库库提供的转义函数。

Answer 2

尝试这个片段，我认为你对实际发生的事情的错误。

$user_name = $_POST["username"];
echo 'before: '.$user_name;
$user_name = mysql_real_escape_string($user_name);
echo 'after: '.$user_name;