我应该在哪里放置 mysql_real_escape_string？ [关闭]

Question

mysql_real_escape_string的最佳使用方式是什么，开头是这样的吗：

$email = mysql_real_escape_string($_POST['email']); 
$qemail = mysql_query ("SELECT email FROM ppl WHERE email='$email'"); 

或者在最后是这样的：

$email = $_POST['email'];
$qemail = mysql_query ("SELECT email FROM ppl WHERE email='". mysql_real_escape_string($email) ."'");

整个网站都在使用 mysql，所以我必须将它保存在 mysql 中。问题是，我不想到处使用 mysql_real_escape_string （代码看起来令人困惑和可怕）。我只想在 $_POST 的开头使用它，但这是否足够？

有些人建议最好在查询中使用它，但我不明白为什么。

Answer 1

您应该将mysql_real_escape_string() 直接放入垃圾箱，然后迁移到mysqli 或PDO 和learn to use prepared statements。

我之前在A Gentle Introduction to Application Security 中提到过，但是使 SQL 注入成为可能的根本问题是数据和代码的混淆。

准备好的语句将您的查询字符串 (SELECT * FROM foo WHERE column = ?) 和您的参数 (['foo']) 在单独的数据包中发送到数据库服务器。参数从不有机会接触到查询字符串，从而首先防止了导致 SQL 注入成为可能的条件。

转义输入和构建查询字符串没有相同的保证。当然，可以安全地执行此操作，但是如果您犯了一个错误并且an unskilled hacker 找到了它，那么您的整个数据库就完蛋了。 （请记住，SQL 注入是唾手可得的成果。）

TL;DR - Just use Prepared Statements.

Answer 2

改用mysql_以外的更好的解决方案。

话虽如此，如果您必须使用已弃用的mysql_，我建议您使用 sprintf() 以提高可读性和易用性：

$qemail = sprintf('SELECT email FROM ppl WHERE email="%s"',
                  mysql_real_escape_string($_POST['email'])
                  );

$qr = mysql_query($qemail);

如果您有多个参数，则可以有多个 %s 和其他标签，请参阅 sprintf() 文档：

$str_qr = sprintf('SELECT * FROM table, WHERE val="%s", val2="%s", someIntegerField=%d',
      mysql_real_escape_string($val1), 
      mysql_real_escape_string($val2),
      mysql_real_escape_string($someNumberId),
);

$qr = mysql_query($str_qr);