詳解mysqli_real_escape_string函數

在MySQL資料庫操作中，防止SQL注入攻擊是非常關鍵的一環。在進行字元串拼接時，我們需要使用mysqli_real_escape_string函數來對用戶輸入的數據進行轉義處理，防止惡意攻擊。

一、mysqli_real_escape_string函數概述

mysqli_real_escape_string函數是mysqli擴展提供的函數，用於在SQL語句執行前對字元串進行轉義處理。這個函數會檢查字元串中是否包含特殊字元，如果有則對其進行轉義處理，以防止SQL注入攻擊。

二、函數語法

string mysqli_real_escape_string ( mysqli $link , string $escapestr )

參數說明：

• $link：mysqli連接實例
• $escapestr：需要轉義處理的字元串

三、函數返回值

函數返迴轉義後的字元串。如果連接斷開，則返回false。

四、函數使用示例

比如，我們需要將用戶輸入的username和password插入到資料庫表中：

$username = mysqli_real_escape_string($link, $_POST['username']);
$password = mysqli_real_escape_string($link, $_POST['password']);
$sql = "INSERT INTO user(username, password) VALUES('$username', '$password')";
mysqli_query($link, $sql);

這個時候，如果用戶輸入的username或password中含有特殊字元，如單引號（’），htmlspecialchars或者addslashes是無法處理的，而mysqli_real_escape_string函數可以很好地解決這個問題。

五、函數效果演示

下面是一個簡單的案例，用來模擬SQL注入攻擊：

假設我們有一張用戶登錄表login，包含了以下的欄位：

CREATE TABLE `login` (
    `id` INT(11) NOT NULL AUTO_INCREMENT,
    `username` VARCHAR(255) NOT NULL,
    `password` VARCHAR(255) NOT NULL,
    PRIMARY KEY (`id`)
);

我們接下來使用mysqli_real_escape_string函數對用戶輸入的數據進行轉義處理後插入資料庫：

// 模擬SQL注入攻擊
$username = "';DROP TABLE login;--";
// 轉義處理
$username = mysqli_real_escape_string($link, $username);
$sql = "INSERT INTO login (username) VALUES ('$username')";
mysqli_query($link, $sql);

這個時候，如果用戶輸入的$username中含有惡意字元，使用mysqli_real_escape_string函數進行轉義處理後，插入的數據將變為：

INSERT INTO login (username) VALUES ('\'\';DROP TABLE login;--')

這個時候，即使用戶輸入的字元串中含有惡意代碼，也不會對資料庫造成任何影響。

六、本質問題

mysqli_real_escape_string函數的本質問題在於：對數據的安全處理應該交給資料庫本身來處理。我們應該使用參數化查詢，使用預處理語句來防止SQL注入攻擊。這樣能更好地保證數據的安全性。

下面是使用參數化查詢和預處理語句的示例：

$stmt = mysqli_prepare($link, "INSERT INTO login (username) VALUES (?)");
mysqli_stmt_bind_param($stmt, 's', $_POST['username']);
mysqli_stmt_execute($stmt);

在這個示例中，我們使用mysqli_prepare函數來準備SQL語句，然後使用mysqli_stmt_bind_param函數來綁定參數，在執行之前，參數已經被轉義和驗證過了，不會造成SQL注入攻擊。

七、總結

在實際應用中，對於數據的安全處理要尤為重視。即使使用了mysqli_real_escape_string函數，也不能完全保證數據的安全。最佳實踐是使用參數化查詢配合預處理語句，從而提高系統的安全性。