在学PHP，请问什么情况下要用mysql_real_escape_string转义？我知道用户名要用，但是密码要用吗？

要用的呀，mysql_real_escape_string的用处就是对SQL注入进行过滤，任何用户输入的内容都是不可信任的，包括$_POST、$_GET、$_SESSION、$_COOKIE。

当你的SQL语句用到这几个变量的时候，都要进行防SQL注入处理的，确定是数字的就加intval转化，不确定的就用mysql_real_escape_string进行处理，这样才可以说的上比较安全。

在数据库中直接存储HTML是最差的办法，目测楼主应该是想将未付款的状态值标红，那可以在前端用js来控制。

楼主不妨把前端实现搬出来，大家帮你出出主意。

在数据库中存储这些信息很不给力，要是用户说不想看红色，想看橙色，难不成还去数据库里面去更新？

---