MySQL：mysql_real_escape_string() 真的做了什么？

对于使用 MySQL 的人来说，mysql_real_escape_string() 函数在防止 SQL 注入攻击中扮演着重要的作用。但是这个函数真的能防止所有的 SQL 注入吗？它到底是做了什么呢？

阅读更多：MySQL 教程

SQL 注入攻击

SQL 注入攻击指的是利用应用程序中未经过滤或转义的用户输入，从而操纵数据库的技术。例如，攻击者利用 SQL 注入可以偷取敏感数据，破坏数据库的结构，甚至完全控制应用程序。

下面我们来看一个简单的例子。假设我们有一条 SQL 语句：

SELECT * FROM users WHERE username = 'username' AND password = 'password';

攻击者可以通过将双引号中的 $username 和 $password 替换为 '; DROP TABLE users;--，从而让整个 SQL 语句变成：

SELECT * FROM users WHERE username = ''; DROP TABLE users;--' AND password = '';

这样一来，攻击者就成功地删除了整个 users 表格，因为整个 SQL 语句被解释为两个语句：第一个语句查找一个空的 username，第二个语句删除整个 users 表。

mysql_real_escape_string() 函数

mysql_real_escape_string() 函数是 MySQL 的一个 PHP 扩展函数，其作用就是对字符串中的特殊字符进行转义，从而使得这些特殊字符在 SQL 语句中不会被识别为特殊意义，而只是作为正常的字符串进行解释。

例如，如果我们使用 mysql_real_escape_string() 来转义字符串 Robert'; DROP TABLE users;--，则得到的结果是 Robert\'; DROP TABLE users;--。这样，在 SQL 语句中，这个字符串就被视为一个正常的字符串，而不会被当做立即执行的一个命令。

因此，如果我们在应用程序中对用户输入进行了适当的转义操作，就可以有效地防止 SQL 注入攻击。例如：

$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";

这样，攻击者就无法通过 $username 和 $password 输入嵌入数据库的恶意命令了。

总结

mysql_real_escape_string() 函数虽然可以防止大多数的 SQL 注入攻击，但是也存在一些漏洞和限制，需要仔细注意。例如，该函数只能用于转义字符串，而无法对数字、日期等数据类型进行转义。另外，该函数只能用于 MySQL 数据库，不能用于其他类型的数据库。

因此，在编写应用程序时，我们仍然需要注意对用户输入进行过滤和验证，以确保系统的安全性。