談談mysqli_real_escape_string在PHP中的作用

一、什麼是mysqli_real_escape_string函數

mysqli_real_escape_string是PHP中預定義的一個函數，常用於處理字元編碼及防止SQL注入攻擊。當我們需要向MySQL資料庫插入一些特殊字元的數據時，這個函數可以將其轉義為安全的字元，避免發生SQL注入攻擊。它的語法如下：

mysqli_real_escape_string(connection,escapestring);

其中，connection是必填項，表示與MySQL資料庫建立的連接。escapestring也是必填項，表示需要被轉義的字元。

二、mysqli_real_escape_string函數的作用

1. 處理特殊字元

在PHP中，如果我們想要插入一些特殊字元，比如單引號、雙引號、斜杠等，很容易就會在插入數據的過程中出現問題。我們可以通過mysqli_real_escape_string函數將這些特殊字元轉義為安全的字元，從而避免了這些字元在插入數據的過程中引起的問題。

// 連接MySQL資料庫  
$mysqli = new mysqli("localhost","root","password","testdb");  

// 需要被轉義的字元串  
$str = "I'm a boy";  

// 轉義字元串  
$str = mysqli_real_escape_string($mysqli, $str);  

// 插入數據  
$mysqli->query("INSERT INTO users(name) VALUES ('$str')");  

2. 防止SQL注入攻擊

SQL注入攻擊是指攻擊者通過在表單或URL參數中注入惡意SQL代碼，來攻擊資料庫或獲得一些他們不應該獲得的數據。如果不使用mysqli_real_escape_string等安全函數對數據進行過濾處理，那麼就會面臨SQL注入攻擊的危險。

// 連接MySQL資料庫  
$mysqli = new mysqli("localhost","root","password","testdb");  

// 獲取表單提交的數據  
$username = $_POST["username"];  
$password = $_POST["password"];  

// 轉義數據  
$username = mysqli_real_escape_string($mysqli, $username);  
$password = mysqli_real_escape_string($mysqli, $password);  

// 執行SQL查詢  
$result = $mysqli->query("SELECT * FROM users WHERE username='$username' AND password='$password'");  

// 檢查查詢結果  
if($result->num_rows > 0){  
  // 登錄成功  
} else {  
  // 登錄失敗  
}  

3. 處理字元編碼

在PHP中，我們需要對字元編碼進行處理，避免在向MySQL資料庫插入數據時出現亂碼等問題。使用mysqli_real_escape_string函數可以幫助我們解決這個問題。

// 連接MySQL資料庫  
$mysqli = new mysqli("localhost","root","password","testdb");  

// 設置字元編碼  
$mysqli->set_charset("utf8");  

// 需要被轉義的字元串  
$str = "你好，世界！";  

// 轉義字元串  
$str = mysqli_real_escape_string($mysqli, $str);  

// 插入數據  
$mysqli->query("INSERT INTO users(name) VALUES ('$str')");  

三、mysqli_real_escape_string函數的注意事項

1. 必須使用mysqli連接上資料庫才能使用mysqli_real_escape_string函數

如果你使用的是mysql_connect或PDO連接資料庫，那麼就不能使用mysqli_real_escape_string函數。必須使用mysqli連接上資料庫，才可以使用mysqli_real_escape_string函數。

2. mysqli_real_escape_string函數只能處理字元串類型的數據

mysqli_real_escape_string函數只能處理字元串類型的數據，如果需要處理其他類型的數據，需要先將其轉換為字元串類型。

3. 將轉義後的字元串放入SQL語句中需要使用單引號括起來

將轉義後的字元串放入SQL語句中時，需要使用單引號將其括起來。

四、總結

mysqli_real_escape_string是PHP中一個非常重要且常用的函數，在處理字元編碼和防止SQL注入攻擊時具有非常重要的作用。它可以幫助我們處理特殊字元，防止SQL注入攻擊，處理字元編碼等問題。同時，在使用這個函數時需要注意一些注意事項，比如必須使用mysqli連接上資料庫，只能處理字元串類型的數據等。