在哪里使用mysql_real_escape_string防止SQL注入？

在哪里使用mysql_real_escape_string防止SQL注入？

基本上，每次您在SQL查询中使用一些不安全的数据（用户输入，来自数据库，文件或外部网站的值，即，您不能 100％
确定安全的任何数据）时，都应使用mysql_real_escape_string。请注意，根据OWASP，此功能对于转义动态表名称并不安全（但这远比“基本”用户输入插入少见）。

我建议您阅读有关SQL注入的整个OWASP文章，并浏览网站的其余部分。它是有关Web应用程序安全性的重要信息来源。

IMO，防止SQL注入的首选方法是使用准备好的语句。

请记住，如果您选择使用

mysql_real_escape_string()

它，则仅在用引号分隔的字符串中使用时才起作用。切勿在任何未引用的值上使用它。这包括数值；而是验证用户输入实际上是数字。