是否需要使用mysql_real_escape_string()将图像导入mysql？

Question

例如：

    $data = file_get_contents($_FILES['image']['tmp_name']);
    $data = mysql_real_escape_string($data);
    mysql_query("INSERT INTO table set image='$data'....

这是坚持的正确方法吗？

Answer 1

您可以执行base64_encode来保持数据的完整性，并确保您不会遇到任何类型的字符问题，实际上这是保存和传输数据的一种非常常见的方式。要取回它，请使用base64_decode。

Answer 2

我建议保留它，除非有理由删除它，因为它是防止 sql 注入的好方法。请参阅此处： http://php.net/manual/en/ function.mysql-real-escape-string.php 。

很可能通过用户上传的图像或客户端可能意外使用的图像进行 SQL 注入。

不使用它的一个原因可能是性能。我倾向于推荐安全性而不是性能。