当我将数据保存在数据库中时，我真的需要使用 mysql_real_escape_string 吗？

Question

我正在使用 mysql_real_escape_string 将内容保存在 mySQL 数据库中。我保存的内容是通过表单的HTML。当我需要时，我删除并重新上传写入数据库的PHP文件。

为了正确显示我的 HTML 输入，我使用 stripslashes()

在其他情况下，当我在没有 mysql_real_escape_string 的情况下插入它时，我不使用 stripslashes()在输出上。

你的意见是什么？ stripslashes 是否会严重影响性能？

Answer 1

不要不要使用stripslashes()。它在安全性方面完全没有用，并且没有任何额外的好处。这种做法来自“魔术引号”的黑暗时代，这种做法已经成为过去，在下一个 PHP 版本中已被淘汰。

相反，仅过滤输入：

• 字符串：mysql_real_escape_string($data)
• 整数：(int)$data
• 浮点数：(float)$data
• 布尔值： isset($data) && $data

输出是另一回事。如果您要存储 HTML，则需要针对 javascript 过滤 HTML。

编辑：如果您必须执行stripslashes()才能使输出看起来正确，那么很可能您打开了魔术引号。一些 CMS 甚至犯了严重的错误，自己做了魔术引用（例如：Wordpress）。始终按照我上面的建议进行过滤，关闭魔术引号，你应该没问题。

Answer 2

不要考虑性能，考虑安全。每次将数据插入数据库时​​使用mysql_real_escape_string

Answer 3

不，不要逃避它。请改用准备好的语句。以原始格式存储数据，并根据显示需要对其进行处理 - 例如，在显示用户提供的 HTML 时使用合适的方法阻止 Javascript 执行。

请参阅 Bill Karwin 的Sql 注入神话与谬论演讲和幻灯片了解更多信息这个话题。

请参阅 HTML Purifier 和 htmlspecialchars 了解多种过滤 HTML 输出的方法。

Answer 4

查看一个可以自动为您执行所有这些操作以及更多操作的数据库抽象库，例如 http://adodb.sourceforge 上的 ADOdb。 net/

它解决了其他人提出的许多问题，例如安全性/参数化。我怀疑节省的任何性能是否值得开发人员在每次查询时手动执行所有这些操作，或者牺牲安全实践。

Answer 5

最好始终清除数据中潜在的恶意或被忽视的特殊字符，这些字符可能会引发错误或损坏数据库。

根据 PHP 文档，它甚至说“如果不使用此函数来转义数据，则查询容易受到 SQL 注入攻击。"