mysql_real_escape_string不逃避所有类型的”

Question

我注意到一些奇怪的与mysql_real_escape_string功能。它不逸出“或”，例如：“TEST”不转化为\“TEST\”。

的功能很好地工作"（仔细观察，你会看到它们是不同的）

不知道如何解决这个问题，我不想从头开始写这个功能。它是否被弃用，是否有其他选择？

编辑：谢谢大家的回答。为了澄清我试图将这个字符串我喜欢的东西“目录\ r \ n插入到数据库中，并且由于某种原因它不起作用。对于任何其他字符串，一切正常，我没有收到任何错误消息，它只是没有出现在数据库中。所以我认为它可能与“”有关。

轻松对我的家伙！

EDIT2

 $interestTable = "5431591 1 Things I Like” <br>"; 

//problem lies here 
     $count = 0; 
     $interestTable = preg_replace_callback('/<br>/', function($match) use($tagName, &$count) { 
      return $tagName[$count++][0] . ' ' . PHP_EOL; 
     }, $interestTable); 


    //$interestTable = "5431591 1 Things I Like” catalog \r\n" after format 

     $interestTable = mysql_real_escape_string($interestTable); 

     echo $interestTable; 


     mysql_query("INSERT INTO $tbl_name(userID,storyID,rank, storyType, interestTable)VALUES('$userID','$storyID','$rank','$storyType','$interestTable')", $dbh1); 

EDIT3我没有记错的话，我从改变字符串东西我都喜欢”目录\ r \ n到事情我AA目录\ r \ n和有效。我不知道为什么会发生这种情况，也许在转换为字符串后，某些东西会与编码混淆，但我不确定。所有我肯定知道从字符串除去”后，一切工作正常

Answer 1

正如我想的那样，它变成了一个复杂的问题。

使用utf8_encode（http://php.net/manual/en/function.utf8-encode.php）在我的字符串一切工作正常。

谢谢大家的帮忙（特别是多项式）。

Answer 2

弯引号不需要进行转义，因为他们没有任何特殊含义的MySQL。

Answer 3

这是因为“聪明”引号不承认为MySQL的引擎报价，并因此造成绝对没有注入攻击的风险。

Answer 4

你不需要逃避“或”。没有什么可以解决的。

Answer 5

的mysql_功能不再保留并且弃用PHP 5.5.0

你并不需要但是逃避“或”的。这些不被MySQL识别为引号。

我会建议你使用PDO或连接到MySQL数据库时MySQLi扩展的。

Answer 6

是。切勿依赖黑名单机制来确保安全。它的破碎，并可能导致一些有趣的SQL注入：

$query = "SELECT id, title, body FROM posts WHERE id = " . mysql_real_escape_string($_GET['id']); 

这仍然可以注入：

1 OR 1=1 

，导致：

SELECT id, title, body FROM posts WHERE id = 1 OR 1=1 

所有的返回结果。不相信这是不好的？好...

1 OR 1=1 UNION SELECT id, username, password FROM users 

哎呀！

为什么这是可注射的？开发人员忘记引用数字ID。如果你可以有史以来看到自己犯这个错误，你应该寻求更好的解决方案。

---

我的建议是？停止使用字符串连接，停止使用已弃用的mysql_函数，并使用参数化查询切换到MySQLi或PDO，其中内容与查询语言显式分开。