在学PHP，请问什么情况下要用mysql_real_escape_string转义？我知道用户名要用，但是密码要用吗？

要用的呀，mysql_real_escape_string的用处就是对SQL注入进行过滤，任何用户输入的内容都是不可信任的，包括$_POST、$_GET、$_SESSION、$_COOKIE。

当你的SQL语句用到这几个变量的时候，都要进行防SQL注入处理的，确定是数字的就加intval转化，不确定的就用mysql_real_escape_string进行处理，这样才可以说的上比较安全。

按照如下步骤执行：

1.找到配置文件my.ini （我的电脑的路径：C:\Program Files (x86)\MySQL\MySQL Server 5.0） ，然后将其打开，可以选择用记事本打开.

2.打开后，Ctrl+F 搜索[mysqld]。

找到后，在[mysqld]下面添加skip-grant-tables，保存退出。

PS：若提示不让保存时，可以将该文件剪切到桌面，更改保存后再复制到mySQL目录下

3.保存后重启mySQL

4.然后运行cmd

切换到mysql的安装目录，在cmd中输入：cd C:\Program Files (x86)\MySQL\MySQL Server 5.0\bin，

然后就可以执行mysql命令了。

在数据库中直接存储HTML是最差的办法，目测楼主应该是想将未付款的状态值标红，那可以在前端用js来控制。

楼主不妨把前端实现搬出来，大家帮你出出主意。

在数据库中存储这些信息很不给力，要是用户说不想看红色，想看橙色，难不成还去数据库里面去更新？

---