mysqli_real_escape_string
是 PHP 中用于防止 SQL 注入攻击的一个函数,它会对字符串中的特殊字符进行转义,以确保这些字符在 SQL 语句中被正确处理。然而,如果你发现使用 mysqli_real_escape_string
处理的数据没有插入到数据库中,可能是以下几个原因造成的:
mysqli_real_escape_string
,如果 SQL 语句本身有语法错误,数据也无法插入。mysqli_real_escape_string
需要与数据库连接对象一起使用,使用方法不当也会导致问题。mysqli_real_escape_string
函数与数据库连接对象一起正确使用。<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
// 设置字符集
$conn->set_charset("utf8");
// 防止 SQL 注入
$name = mysqli_real_escape_string($conn, $_POST['name']);
// 插入数据
$sql = "INSERT INTO users (name) VALUES ('$name')";
if ($conn->query($sql) === TRUE) {
echo "新记录插入成功";
} else {
echo "Error: " . $sql . "<br>" . $conn->error;
}
// 关闭连接
$conn->close();
?>
请注意,尽管 mysqli_real_escape_string
可以防止 SQL 注入,但它并不是最安全的方法。更推荐使用预处理语句(prepared statements),例如使用 mysqli
扩展的 prepare
和 bind_param
方法,或者使用 PDO 扩展的预处理语句。这样可以更有效地防止 SQL 注入攻击,并且代码更加清晰和安全。