mysql_real_escape_string（）函数

qwe3223678qwe

　　
　　mysql_real_escape_string()函数
　　mysql_real_escape_string()函数用于转义SQL语句中的特殊字符，该函数的语法格式如下：
　　

• string mysql_real_escape_string ( string $unescaped_string
  
• [, resource $link_identifier ] )
  

　　

　　在上述语法中涉及到的参数说明如下。
　　unescaped_string：未转义的字符串。
　　link_identifier：MySQL的连接标识符。
　　mysql_real_escape_string()函数不转义"%"  和 "_"这两个符号。
　　使用函数mysql_real_escape_string()函数的示例代码如下：
　　代码23-19   光盘\codes\第23章\23.4\mysql_real_escape_string.php
　　

• 
  

　　

　　上面代码的输出结果如图23-18所示。


图23-18   转义后的字符　　

　　

　　

　　Function name must be a string  in也就是说没有申明的变量，查找时注意自己的变量是否申明了，或者是否自己不小心加了一个$。前几天玉丰学长说了一个解决方法来解决这个问题。如下：
　　if ($_POST[name] !=  mysql_real_escape_string($_POST[name])  )
　　
{
　　
exit();
　　
}
　　如果不大清楚是解决了什么样的错误呢，那么请参考关于一些很无语的php错误
　　下面简单的说一下我最近对mysql_real_escape_string（）函数的理解。
　　mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
　　下列字符受影响： \x00 \n \r \  ' " \x1a  可以说这个函数在某些地方与c++中的/有异曲同工之妙！
　　如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。
　　关于这个语法mysql_real_escape_string(string,connection)。string是必须写的，用来描述规定要转义的字符串。connection可以选择是否写，它描述规定的MySQL  连接。如果未规定，默认使用上一个连接。
　　mysql_real_escape_string 优于addslashes。因为  mysql_real_escape_string考虑到字符集的问题因此可以安全用于 mysql_query()。另外需要注意的是mysql_real_escape_string（）不能转义%及_
　　在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用。
　　
　　下面是我找到的一位大虾的关于mysql_real_escape_string（）函数的认识，稍微做了一点改动，希望记下来和大家一起分享：
　　{
　　mysql_real_escape_string（）函数的作用：

• 防止SQL Injection***，也就是你必须验证用户的输入
  
• 操作数据的时候避免不必要的字符导致错误
  

　　例子：***的例子［1］
　　例子 1
　　

　　例子 2
　　
数据库***。本例演示如果我们不对用户名和密码应用 mysql_real_escape_string()  函数会发生什么：
　　
　　那么 SQL 查询会成为这样：
　　SELECT * FROM users WHERE user='john' AND password='' OR  ''=''这意味着任何用户无需输入合法的密码即可登陆。
　　例子 3
　　
预防数据库***的正确做法：
　　
　　

　　【转载】原文：http://blog.sina.com.cn/s/blog_6f145be10100qh18.html