mysqli给字符串加转义

mysqli 是 PHP 中用于与 MySQL 数据库进行交互的扩展。在向数据库插入数据时，为了防止 SQL 注入等安全问题，通常需要对字符串进行转义处理。

基础概念

SQL 注入是一种常见的网络攻击方式，攻击者通过在输入框中输入恶意的 SQL 代码，从而实现对数据库的非法操作。例如，如果一个查询用户输入的 SQL 语句是 SELECT * FROM users WHERE username = '[user_input]'，而用户输入的是 admin' --，那么实际执行的 SQL 语句就变成了 SELECT * FROM users WHERE username = 'admin' --'，后面的 -- 是 SQL 中的注释符号，导致整条语句后面的内容都被注释掉，这样攻击者就可以绕过验证直接访问 admin 用户的信息。

为了防止这种攻击，我们需要对用户输入的数据进行转义处理，使其不再被当作 SQL 代码的一部分。

相关优势

• 安全性：转义处理可以有效防止 SQL 注入等安全问题。
• 数据完整性：确保用户输入的数据在存储到数据库时保持其原始含义。

类型与应用场景

在 mysqli 扩展中，可以使用 mysqli_real_escape_string() 函数对字符串进行转义处理。这个函数接受两个参数：数据库连接对象和需要转义的字符串。

应用场景主要是在构建 SQL 查询语句时，对用户输入的数据进行转义处理。

示例代码

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 用户输入的数据
$user_input = "O'Reilly";

// 对用户输入的数据进行转义处理
$escaped_input = $conn->real_escape_string($user_input);

// 构建 SQL 查询语句
$sql = "SELECT * FROM books WHERE author = '$escaped_input'";

// 执行查询
$result = $conn->query($sql);

// 处理查询结果
if ($result->num_rows > 0) {
    // 输出数据
    while($row = $result->fetch_assoc()) {
        echo "书名: " . $row["title"]. " - 作者: " . $row["author"]. "<br>";
    }
} else {
    echo "0 结果";
}

// 关闭连接
$conn->close();
?>

可能遇到的问题及解决方法

1. 转义函数使用不当：如果忘记对用户输入的数据进行转义处理，或者使用了错误的转义函数，可能会导致 SQL 注入等安全问题。确保在构建 SQL 查询语句时，对所有用户输入的数据都进行转义处理。
2. 数据库连接问题：如果数据库连接失败，mysqli_real_escape_string() 函数将无法正常工作。确保数据库连接参数正确，并检查数据库服务器是否正常运行。

通过以上方法，可以有效地使用 mysqli 对字符串进行转义处理，提高应用程序的安全性和稳定性。