MySQL mysql_real_escape_string VS addslashes

在进行MySQL数据库操作时，我们经常会遇到需要对字符串进行转义的情况，以避免SQL注入攻击。常用的字符串转义函数有mysql_real_escape_string与addslashes，那么它们的区别是什么呢？

阅读更多：MySQL 教程

addslashes函数

addslashes是PHP的内置函数，用于在字符串中添加反斜杠来对特定字符进行转义。它将特殊字符（比如单引号、双引号、反斜杠等）前面插入反斜杠，以防止它们在SQL语句中引起错误。例如：

$str = "I'm a student";
$str = addslashes($str);
echo $str; // 输出： I\'m a student

addslashes的缺点在于它只在特定字符前面增加反斜杠，但是当特定字符本身包含反斜杠时，就会出现问题。另外，由于其种种不足，addslashes已不再被推荐使用。

mysql_real_escape_string函数

mysql_real_escape_string是MySQL提供的函数，它也是php中mysqli扩展库提供的函数。与addslashes不同的是，它能够正确地转义SQL语句中的特殊字符，并且始终将正确的字符集信息传递给MySQL数据库。下面是一个使用mysql_real_escape_string的示例：

$str = "I'm a student";
$str = mysql_real_escape_string($str);
echo $str; // 输出： I\'m a student

mysql_real_escape_string的优点在于它能够正确地处理各种字符集，并且能够正确地转义所有特殊字符，因此非常安全可靠。

总结

通过对比mysql_real_escape_string和addslashes两个函数的用法和注意事项，我们可以看出，mysql_real_escape_string是更为安全和可靠的字符串转义函数，因此在进行MySQL数据库操作时，建议使用mysql_real_escape_string来防止SQL注入攻击。